Chapitre 26 Oracle Solaris IP Filter (tâches)

Ce chapitre fournit les instructions relatives à chaque étape des tâches Filtre Solaris IP . Pour obtenir des informations générales sur Oracle Solaris IP Filter, reportez-vous au Chapitre 25Oracle Solaris IP Filter (présentation).

Le présent chapitre contient les informations suivantes :

• Configuration de Oracle Solaris IP Filter

• Désactivation de Oracle Solaris IP Filter

• Utilisation du module pfil

• Utilisation des ensembles de règles Oracle Solaris IP Filter

• Affichage des statistiques et des informations de Oracle Solaris IP Filter

• Utilisation des fichiers journaux de Oracle Solaris IP Filter

• Création et modification des fichiers de configuration Oracle Solaris IP Filter

Configuration de Oracle Solaris IP Filter

La liste des tâches suivante explique les procédures de la configuration de Oracle Solaris IP Filter.

Activation de Oracle Solaris IP Filter

Cette procédure permet d'activer Oracle Solaris IP Filter sur un système exécutant le SE Solaris 10 7/07 ou une version ultérieure. Si le système exécute une version Oracle Solaris 10 antérieure à la version Solaris 10 7/07, reportez-vous à la section Utilisation du module pfil pour activer Oracle Solaris IP Filter.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Créez un ensemble de règles de filtrage de paquets.

   L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par Oracle Solaris IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration Oracle Solaris IP Filter.

3. (Facultatif) Créez un fichier de configuration NAT (Network Address Translation, translation d'adresse réseau).

   ---

   Remarque –

   NAT ne prend pas en charge IPv6.

   ---

   Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.

   Pour plus d'informations sur la fonction NAT (Network Address Translation), reportez-vous à la section Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter.

4. (Facultatif) Créez un fichier de configuration de pool d'adresses.

   Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.

   Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.

   Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter.

5. (Facultatif) Activez le filtrage de trafic en loopback.

   Pour filtrer le trafic entre les zones configurées sur le système, le cas échéant, activez le filtrage de loopback. Reportez-vous à la section Activation du filtrage de loopback. Vous devez également définir les ensembles de règles adéquats applicables aux zones.

6. Activez Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

Réactivation de Oracle Solaris IP Filter

Si le filtrage de paquets a été temporairement désactivé, vous pouvez le réactiver.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Activez Oracle Solaris IP Filter et le filtrage selon l'une des méthodes ci-dessous :

   • Redémarrez l'ordinateur.

     # reboot

     ---

     Remarque –

     Lorsque IP Filter est activé, les fichiers suivants sont chargés après une réinitialisation s'ils sont présents : le fichier /etc/ipf/ipf.conf, le fichier /etc/ipf/ipf6.conf en cas d'utilisation d'IPv6 ou le fichier /etc/ipf/ipnat.conf.

     ---

   • Exécutez les commandes suivantes pour activer Oracle Solaris IP Filter et le filtrage :

     1. Activez Oracle Solaris IP Filter.

        # ipf -E

     2. Activez le filtrage de paquets.

        # ipf -f filename

     3. (Facultatif) Activez NAT.

        # ipnat -f filename

        ---

        Remarque –

        NAT ne prend pas en charge IPv6.

        ---

Activation du filtrage de loopback

Vous pouvez filtrer le trafic de loopback uniquement si vous exécutez la version Solaris 10 7/07&; ou une version ultérieure. Dans les versions antérieures à Oracle Solaris 10, le filtrage de loopback n'était pas pris en charge.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Arrêtez Oracle Solaris IP Filter, le cas échéant.

   # svcadm disable network/ipfilter

3. Ajoutez la ligne suivante au début du fichier /etc/ipf.conf ou /etc/ipf6.conf :

   set intercept_loopback true;

   Cette ligne doit précéder toutes les règles de filtre IP définies dans le fichier. Toutefois, vous pouvez insérer des commentaires avant la ligne, comme dans l'exemple ci-dessous :

   # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...

4. Démarrez Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

5. Pour vérifier le statut du filtrage de loopback, exécutez la commande ci-dessous :

   # ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #

   Si le filtrage de loopback est désactivé, la commande génère la sortie suivante :

   ipf_loopback min 0 max 0x1 current 0

Désactivation de Oracle Solaris IP Filter

Vous pouvez désactiver le filtrage de paquets et NAT pour :

• réaliser des tests ;

• Pour dépanner des problèmes système dont Oracle Solaris IP Filter semble être à l'origine, procédez comme suit :

La liste des tâches suivante identifie les procédures de désactivation des fonctions de Oracle Solaris IP Filter.

Désactivation du filtrage de paquets

La procédure suivante permet de désactiver le filtrage de paquets Oracle Solaris IP Filter en vidant les règles de filtrage de paquets de l'ensemble de règles de filtrage actif. La procédure ne désactive pas Oracle Solaris IP Filter. Vous pouvez réactiver Oracle Solaris IP Filter en ajoutant des règles à l'ensemble de règles.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Pour désactiver les règles Oracle Solaris IP Filter, utilisez l'une des méthodes suivantes :

   • Supprimez du noyau l'ensemble de règles actif.

     # ipf -Fa

     Cette commande désactive toutes les règles de filtrage de paquets.

   • Supprimez les règles de filtrage appliquées aux paquets entrants.

     # ipf -Fi

     Cette commande désactive les règles de filtrage de paquets appliquées aux paquets entrants.

   • Supprimez les règles de filtrage appliquées aux paquets sortants.

     # ipf -Fo

     Cette commande désactive les règles de filtrage de paquets appliquées aux paquets sortants.

Désactivation de NAT

La procédure ci-dessous permet de désactiver les règles NAT de Oracle Solaris IP Filter en les vidant de l'ensemble de règles NAT actif. La procédure ne désactive pas Oracle Solaris IP Filter. Vous pouvez réactiver Oracle Solaris IP Filter en ajoutant des règles à l'ensemble de règles.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Supprimez NAT du noyau.

   # ipnat -FC

   L'option -C permet de supprimer toutes les entrées de la liste de règles NAT actuelle. L'option -F permet de supprimer toutes les entrées actives de la table de translation NAT qui indique les mappages NAT actifs.

Désactivation du filtrage de paquets

Lorsque vous exécutez cette procédure, NAT et le filtrage de paquets sont supprimés du noyau. Pour réactiver le filtrage de paquets et NAT après avoir exécuté cette procédure, le cas échéant, vous devez réactiver Filtre Solaris IP . Pour plus d'informations, reportez-vous à la section Réactivation de Oracle Solaris IP Filter.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Désactivez le filtrage de paquets et autorisez la transmission de tous les paquets sur le réseau.

   # ipf –D

   ---

   Remarque –

   La commande ipf -D vide les règles de l'ensemble de règles. Lorsque vous réactivez le filtrage, vous devez ajouter des règles à l'ensemble de règles.

   ---

Utilisation du module pfil

Cette section explique comment utiliser le module STREAMS pfil pour activer ou désactiver Oracle Solaris IP Filter et comment afficher les statistiques pfil. Ces procédures s'appliquent uniquement aux systèmes exécutant l'une des versions de Oracle Solaris 10 suivantes :

• Solaris 10 3/05 ;

• Solaris 10 1/06 ;

• Solaris 10 6/06 ;

• Solaris 10 11/06.

La liste des tâches ci-dessous identifie les procédures associées à la configuration du module pfil.

Activation de Oracle Solaris IP Filter dans des versions antérieures de Oracle Solaris 10

Oracle Solaris IP Filter est installé avec Oracle Solaris. Toutefois, le filtrage de paquets n'est pas activé par défaut. Pour activer &ProductBase IP Filter, suivez la procédure suivante :

Si votre système exécute la version Solaris 10 7/07 ou une version ultérieure, suivez la procédure Activation de Oracle Solaris IP Filter utilisant des crochets de filtre de paquets.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ouvrez le fichier /etc/ipf/pfil.ap dans l'éditeur de fichiers de votre choix.

   Ce fichier contient les noms des cartes d'interface réseau (NIC, Network Interface Card) présentes sur l'hôte. Par défaut, les noms sont commentés. Annulez le commentaire des noms de périphérique correspondant au trafic réseau que vous souhaitez filtrer. Si la NIC de votre système n'est pas répertoriée, ajoutez une ligne pour la spécifier.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Activez les modifications apportées au fichier /etc/ipf/pfil.ap en redémarrant l'instance de service network/pfil.

   # svcadm restart network/pfil

4. Créez un ensemble de règles de filtrage de paquets.

   L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par Oracle Solaris IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration Oracle Solaris IP Filter.

5. (Facultatif) Créez un fichier de configuration NAT (Network Address Translation, translation d'adresse réseau).

   ---

   Remarque –

   NAT ne prend pas en charge IPv6.

   ---

   Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.

   Pour plus d'informations sur la fonction NAT (Network Address Translation), reportez-vous à la section Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter.

6. (Facultatif) Créez un fichier de configuration de pool d'adresses.

   Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.

   Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.

   Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter.

7. Activez Oracle Solaris IP Filter selon l'une des méthodes suivantes :

   • Activez IP Filter et réinitialisez la machine.

     # svcadm enable network/ipfilter # reboot

     ---

     Remarque –

     La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.

     ---

   • Activez les NIC à l'aide des commandes ifconfig unplumb et ifconfig plumb. Activez ensuite IP Filter. La version inet6 de l'interface doit être montée afin de permettre l'implémentation du filtrage de paquets IPv6.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter

     Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).

Activation d'une NIC pour le filtrage de paquets

Oracle Solaris IP Filter est activé lors de l'initialisation, lorsque le fichier /etc/ipf/ipf.conf (ou le fichier /etc/ipf/ipf6.conf, si vous utilisez des adresses IPv6) est présent. Si vous devez activer le filtrage sur une carte réseau une fois Oracle Solaris IP Filter activé, suivez la procédure suivante :

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ouvrez le fichier /etc/ipf/pfil.ap dans l'éditeur de fichiers de votre choix.

   Ce fichier contient les noms des NIC présentes sur l'hôte. Par défaut, les noms sont commentés. Annulez le commentaire des noms de périphérique correspondant au trafic réseau que vous souhaitez filtrer. Si la NIC de votre système n'est pas répertoriée, ajoutez une ligne pour la spécifier.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Activez les modifications apportées au fichier /etc/ipf/pfil.ap en redémarrant l'instance de service network/pfil.

   # svcadm restart network/pfil

4. Activez la NIC selon l'une des méthodes ci-dessous :

   • Redémarrez l'ordinateur.

     # reboot

     ---

     Remarque –

     La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.

     ---

   • Activez les NIC à filtrer à l'aide de la commande ifconfig avec les options unplumb et plumb. La version inet6 de chaque interface doit être montée afin de permettre l'implémentation du filtrage de paquets IPv6.

     # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

     Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).

Désactivation de Oracle Solaris IP Filter sur une carte réseau

Pour arrêter le filtrage des paquets sur une NIC, le cas échéant, suivez la procédure ci-dessous.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ouvrez le fichier /etc/ipf/pfil.ap dans l'éditeur de fichiers de votre choix.

   Ce fichier contient les noms des NIC présentes sur l'hôte. Le commentaire des NIC utilisées pour filtrer le trafic réseau est annulé. Commentez les noms des périphériques que vous ne souhaitez plus utiliser pour filtrer le trafic réseau.

   # vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil

3. Désactivez la NIC selon l'une des méthodes ci-dessous :

   • Redémarrez l'ordinateur.

     # reboot

     ---

     Remarque –

     La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.

     ---

   • Désactivez les NIC à l'aide de la commande ifconfig avec les options unplumb et plumb. La version inet6 de chaque interface doit être démontée afin de permettre la désactivation du filtrage de paquets IPv6. Procédez comme suit. Le périphérique système hme est utilisé en exemple :

     1. Identifiez le numéro majeur du périphérique à désactiver.

        # grep hme /etc/name_to_major hme 7

     2. Affichez la configuration autopush actuelle pour hme0.

        # autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil

     3. Supprimez la configuration autopush.

        # autopush -r -M 7 -m 0

     4. Ouvrez le périphérique et attribuez les adresses IP au périphérique.

        # ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up

        Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).

Affichage des statistiques pfil de Oracle Solaris IP Filter

Vous pouvez afficher les statistiques pfil lors du dépannage de Oracle Solaris IP Filter.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichage des statistiques pfil

   # ndd -get /dev/pfil qif_status

Exemple 26–1 Affichage des statistiques pfil de Oracle Solaris IP Filter

L'exemple ci-dessous illustre l'affichage des statistiques pfil.

# ndd -get /dev/pfil qif_status
ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata
   notdata
QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0
dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0

Utilisation des ensembles de règles Oracle Solaris IP Filter

La liste des tâches ci-dessous identifie les procédures des ensembles de règles Oracle Solaris IP Filter.

Gestion des ensembles de règles de filtrage de paquets de Oracle Solaris IP Filter

Lorsque Filtre Solaris IP est activé, les ensembles actif et inactif de règles de filtrage de paquets peuvent résider dans le noyau. L'ensemble de règles actif détermine le filtrage appliqué aux paquets entrants et aux paquets sortants. L'ensemble de règles inactif contient également des règles. Ces règles ne sont pas appliquées, sauf si vous définissez l'ensemble de règles inactif comme l'ensemble de règles actif. Vous pouvez gérer, afficher et modifier les ensembles actif et inactif de règles de filtrage de paquets.

Affichage de l'ensemble actif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.

   # ipfstat -io

Exemple 26–2 Affichage de l'ensemble actif de règles de filtrage de paquets

L'exemple ci-dessous présente la sortie de l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

Affichage de l'ensemble inactif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez l'ensemble inactif de règles de filtrage de paquets.

   # ipfstat -I -io

Exemple 26–3 Affichage de l'ensemble inactif de règles de filtrage de paquets

L'exemple ci-dessous présente la sortie d'un ensemble inactif de règles de filtrage de paquets.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour

Effectuez la procédure ci-dessous pour exécuter l'une ou l'autre des tâches suivantes :

• activation d'un ensemble de règles de filtrage de paquets différent de celui utilisé actuellement par Oracle Solaris IP Filter ;

• rechargement du même ensemble de règles de filtrage mis à jour.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Procédez de l'une des façons suivantes :

   • Si vous souhaitez activer un ensemble de règles complètement différent, créez-le dans un fichier distinct.

   • Pour mettre à jour l'ensemble de règles actuel, modifiez le fichier de configuration contenant l'ensemble de règles.

3. Supprimez l'ensemble de règles actuel et chargez le nouvel ensemble de règles.

   # ipf -Fa -f filename

   La variable fichier peut correspondre à un fichier contenant un ensemble de règles complètement différent, ou au fichier contenant l'ensemble de règles actif, mis à jour.

   L'ensemble de règles actif est supprimé du noyau. Les règles du fichier constituent dorénavant l'ensemble de règles actif.

   ---

   Remarque –

   Même si vous rechargez le fichier de configuration actuel, vous devez exécuter la commande. Dans le cas contraire, le système ignore l'ensemble de règles modifié défini dans le fichier de configuration mis à jour et continue d'appliquer l'ancien ensemble de règles.

   N'utilisez pas de commandes telles que ipf -D ou svcadm restart pour charger l'ensemble de règles mis à jour. Ces commandes affectent la sécurité du réseau, car elles désactivent le pare-feu avant de charger le nouvel ensemble de règles.

   ---

Exemple 26–4 Activation d'un nouvel ensemble de règles de filtrage de paquets

Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets est remplacé par un autre ensemble se trouvant dans un fichier de configuration distinct, /etc/ipf/ipf.conf.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any

Exemple 26–5 Rechargement d'un ensemble de règles de filtrage de paquets mis à jour

Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets actuellement actif est rechargé suite à sa mise à jour. Dans cet exemple, le fichier utilisé est /etc/ipf/ipf.conf.

# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

Suppression d'un ensemble de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Supprimez l'ensemble de règles.

   # ipf -F [a|i|o]

   -a

   Supprime toutes les règles de filtrage de l'ensemble de règles.

   -i

   Supprime les règles de filtrage pour les paquets entrants.

   -o

   Supprime les règles de filtrage pour les paquets sortants.

Exemple 26–6 Suppression d'un ensemble de règles de filtrage de paquets

Dans l'exemple ci-dessous, toutes les règles de filtrage sont supprimées de l'ensemble de règles de filtrage actif.

# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

Ajout de règles à l'ensemble actif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Appliquez l'une des méthodes ci-dessous pour ajouter des règles à l'ensemble de règles actif :

   • Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ipf -f -.

     # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

   • Exécutez les commandes ci-dessous :

     1. Créez un ensemble de règles dans le fichier de votre choix.

     2. Ajoutez ces règles à l'ensemble de règles actif.

        # ipf -f filename

        Les règles présentes dans le fichier sont ajoutées à la fin de l'ensemble de règles actif. Filtre Solaris IP appliquant un algorithme de type "dernière règle correspondante", les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.

Exemple 26–7 Ajout de règles à l'ensemble actif de règles de filtrage de paquets

Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble actif de règles de filtrage de paquets à partir de la ligne de commande.

# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

Ajout de règles à l'ensemble inactif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Créez un ensemble de règles dans le fichier de votre choix.

3. Ajoutez ces règles à l'ensemble de règles inactif.

   # ipf -I -f filename

   Les règles présentes dans le fichier sont ajoutées à la fin de l'ensemble de règles inactif. Filtre Solaris IP appliquant un algorithme de type "dernière règle correspondante", les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.

Exemple 26–8 Ajout de règles à l'ensemble de règles inactif

Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles inactif à partir d'un fichier.

# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

Basculement entre les ensembles actif et inactif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Basculez entre les ensembles de règles actif et inactif.

   # ipf -s

   Cette commande permet de basculer entre les ensembles de règles actif et inactif dans le noyau. Si l'ensemble de règles inactif est vide, aucun filtrage de paquets n'est effectué.

Exemple 26–9 Basculement entre les ensembles actif et inactif de règles de filtrage de paquets

Dans l'exemple ci-dessous, la commande ipf -s est exécutée. L'ensemble de règles inactif devient alors l'ensemble de règles actif, tandis que l'ensemble de règles actif devient l'ensemble de règles inactif.

• Avant l'exécution de la commande ipf -s, la sortie de la commande ipfstat -I -io permet d'afficher les règles de l'ensemble de règles inactif. La sortie de la commande ipfstat -io affiche les règles de l'ensemble de règles actif.

  # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any

• Une fois la commande ipf -s exécutée, les sorties des commandes ipfstat -I -io et ipfstat -io indiquent que le contenu des deux ensembles de règles a été échangé.

  # ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any

Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Spécifiez l'ensemble de règles inactif via la commande "flush all".

   # ipf -I -Fa

   Cette commande vide l'ensemble de règles inactif du noyau.

   ---

   Remarque –

   Si vous exécutez ensuite la commande ipf -s, l'ensemble de règles inactif vide devient l'ensemble de règles actif. Si l'ensemble de règles actif est vide, aucun filtrage n'est effectué.

   ---

Exemple 26–10 Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau

Dans l'exemple ci-dessous, l'ensemble inactif de règles de filtrage de paquets est vidé afin de supprimer toutes les règles.

# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)

Gestion des règles NAT de Oracle Solaris IP Filter

Appliquez les procédures ci-dessous pour gérer, afficher et modifier les règles NAT.

Affichage des règles NAT actives

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez les règles NAT actives.

   # ipnat -l

Exemple 26–11 Affichage des règles NAT actives

L'exemple ci-dessous présente la sortie de l'ensemble de règles NAT actif.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Suppression des règles NAT

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Supprimez les règles NAT actuelles.

   # ipnat -C

Exemple 26–12 Suppression des règles NAT

Dans l'exemple ci-dessous, les entrées des règles NAT actuelles sont supprimées.

# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:
# ipnat -C
1 entries flushed from NAT list
# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:

Ajout de règles aux règles NAT

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Appliquez l'une des méthodes ci-dessous pour ajouter des règles à l'ensemble de règles actif :

   • Pour ajouter des règles à l'ensemble de règles NAT via la ligne de commande, exécutez la commande ipnat -f -.

     # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

   • Exécutez les commandes ci-dessous :

     1. Créez des règles NAT supplémentaires dans le fichier de votre choix.

     2. Ajoutez ces règles aux règles NAT actives.

        # ipnat -f filename

        Les règles présentes dans le fichier sont ajoutées à la fin des règles NAT.

Exemple 26–13 Ajout de règles à l'ensemble de règles NAT

Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles NAT via la ligne de commande.

# ipnat -l
List of active MAP/Redirect filters:

List of active sessions:
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
# ipnat -l
List of active MAP/Redirect filters:
map dmfe0 192.168.1.0/24 -> 20.20.20.1/32

List of active sessions:

Gestion des pools d'adresses de Oracle Solaris IP Filter

Appliquez les procédures ci-dessous pour gérer, afficher et modifier les pools d'adresses.

Affichage des pools d'adresses actifs

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez le pool d'adresses actif.

   # ippool -l

Exemple 26–14 Affichage du pool d'adresses actif

Dans l'exemple ci-dessous, le contenu du pool d'adresses actif est affiché.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

Suppression d'un pool d'adresses

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Supprimez les entrées du pool d'adresses actuel.

   # ippool -F

Exemple 26–15 Suppression d'un pool d'adresses

Dans l'exemple ci-dessous, un pool d'adresses est supprimé.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l

Ajout de règles à un pool d'adresses

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Appliquez l'une des méthodes ci-dessous pour ajouter des règles à l'ensemble de règles actif :

   • Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ippool -f -.

     # echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -

   • Exécutez les commandes ci-dessous :

     1. Créez des pools d'adresses supplémentaires dans le fichier de votre choix.

     2. Ajoutez ces règles au pool d'adresses actif.

        # ippool -f filename

        Les règles présentes dans le fichier sont ajoutées à la fin du pool d'adresses actif.

Exemple 26–16 Ajout de règles à un pool d'adresses

Dans l'exemple ci-dessous, un pool d'adresses est ajouté à l'ensemble de règles de pool d'adresses via la ligne de commande.

# ippool -l
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
        { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
        { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };

Affichage des statistiques et des informations de Oracle Solaris IP Filter

Affichage des tables d'état de Oracle Solaris IP Filter

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez la table d'état.

   # ipfstat

   ---

   Remarque –

   L'option -t permet d'afficher la table d'état au format de l'utilitaire top.

   ---

Exemple 26–17 Affichage des tables d'état de Oracle Solaris IP Filter

Dans l'exemple ci-dessous, une table d'état est affichée.

# ipfstat
bad packets:            in 0    out 0
 input packets:         blocked 160 passed 11 nomatch 1 counted 0 short 0
output packets:         blocked 0 passed 13681 nomatch 6844 counted 0 short 0
 input packets logged:  blocked 0 passed 0
output packets logged:  blocked 0 passed 0
 packets logged:        input 0 output 0
 log failures:          input 0 output 0
fragment state(in):     kept 0  lost 0
fragment state(out):    kept 0  lost 0
packet state(in):       kept 0  lost 0
packet state(out):      kept 0  lost 0
ICMP replies:   0       TCP RSTs sent:  0
Invalid source(in):     0
Result cache hits(in):  152     (out):  6837
IN Pullups succeeded:   0       failed: 0
OUT Pullups succeeded:  0       failed: 0
Fastroute successes:    0       failures:       0
TCP cksum fails(in):    0       (out):  0
IPF Ticks:      14341469
Packet log flags set: (0)
        none

Affichage des tables de statistiques de Oracle Solaris IP Filter

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez les statistiques d'état.

   # ipfstat -s

Exemple 26–18 Affichage des tables de statistiques de Oracle Solaris IP Filter

Dans l'exemple ci-dessous, les statistiques d'état sont affichées.

# ipfstat -s
IP states added:
        0 TCP
        0 UDP
        0 ICMP
        0 hits
        0 misses
        0 maximum
        0 no memory
        0 max bucket
        0 active
        0 expired
        0 closed
State logging enabled

State table bucket statistics:
        0 in use        
        0.00% bucket usage
        0 minimal length
        0 maximal length
        0.000 average length

Affichage des tables de statistiques de Oracle Solaris IP Filter

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichage des statistiques NAT

   # ipnat -s

Exemple 26–19 Affichage des statistiques NAT de Oracle Solaris IP Filter

Dans l'exemple ci-dessous, les statistiques NAT sont affichées.

# ipnat -s
mapped  in      0       out     0
added   0       expired 0
no memory       0       bad nat 0
inuse   0
rules   1
wilds   0

Affichage des statistiques de pool d'adresses de Oracle Solaris IP Filter

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichage des statistiques de pool d'adresses

   # ippool -s

Exemple 26–20 Affichage des statistiques de pool d'adresses de Oracle Solaris IP Filter

Dans l'exemple ci-dessous, les statistiques de pool d'adresses sont affichées.

# ippool -s
Pools:  3
Hash Tables:    0
Nodes:  0

Utilisation des fichiers journaux de Oracle Solaris IP Filter

Configuration d'un fichier journal de Oracle Solaris IP Filter

Par défaut, toutes les informations des journaux de Oracle Solaris IP Filter sont enregistrées dans le fichier syslogd. Configurez un fichier journal afin de séparer les informations de trafic Oracle Solaris IP Filter enregistrées des autres données susceptibles d'être consignées dans le fichier journal par défaut. Procédez comme suit.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Ajoutez les lignes suivantes au fichier /etc/syslog.conf :

   # Save IPFilter log output to its own file local0.debug /var/log/log-name

   ---

   Remarque –

   Sur la deuxième ligne, séparez local0.debug de /var/log/ journal à l'aide de la touche de tabulation (non la barre d'espace).

   ---

3. Créez le fichier journal.

   # touch /var/log/log-name

4. Redémarrez le service de journal système.

   # svcadm restart system-log

Exemple 26–21 Création d'un journal Oracle Solaris IP Filter

Dans l'exemple ci-dessous, le fichier ipmon.log est créé pour archiver les informations IP Filter.

Dans /etc/syslog.conf :

# Save IPFilter log output to its own file 
local0.debug             /var/log/ipmon.log

Sur la ligne de commande :

# touch /var/log/ipmon.log
# svcadm restart system-log

Affichage des fichiers journaux de Oracle Solaris IP Filter

Avant de commencer

Il est conseillé de créer un fichier journal distinct pour enregistrer les données Oracle Solaris IP Filter. Reportez-vous à la section Configuration d'un fichier journal de Oracle Solaris IP Filter.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Affichez le fichier journal normal, le fichier journal NAT ou le fichier journal d'état. Pour afficher un fichier journal, tapez la commande ci-dessous, conjointement avec l'option adéquate :

   # ipmon -o [S|N|I] filename

   S

   Affiche le fichier journal d'état.

   N

   Affiche le fichier journal NAT.

   I

   Affiche le fichier journal IP normal.

   Pour afficher le fichier journal normal et les fichiers journaux d'état et NAT, appliquez les options :

   # ipmon -o SNI filename

   • Si, dans un premier temps, vous avez arrêté manuellement le démon ipmon, vous pouvez également exécuter la commande suivante pour afficher le fichier journal de Oracle Solaris IP Filter et les fichiers journaux d'état et NAT :

     # ipmon -a filename

     ---

     Remarque –

     N'utilisez pas la syntaxe ipmon -a si le démon ipmon est en cours d'exécution. Normalement, le démon démarre automatiquement à l'initialisation du système. Si vous exécutez la commande ipmon -a, une autre copie de ipmon s'ouvre également. Dans ce cas, les deux copies lisent les mêmes informations de journal, mais tout message du journal n'est reçu que par l'une d'elles.

     ---

   Pour plus d'informations sur l'affichage des fichiers journaux, reportez-vous à la page de manuel ipmon(1M).

Exemple 26–22 Affichage des fichiers journaux de Oracle Solaris IP Filter

L'exemple ci-dessous présente la sortie du fichier /var/ipmon.log.

# ipmon -o SNI /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

ou

# pkill ipmon
# ipmon -aD /var/ipmon.log
02/09/2004 15:27:20.606626 hme0 @0:1 p 129.146.157.149 -> 
129.146.157.145 PR icmp len 20 84 icmp echo/0 IN

Vidage du fichier journal de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Videz le tampon de journalisation des paquets.

   # ipmon -F

Exemple 26–23 Vidage du fichier journal de paquets

L'exemple ci-dessous présente la sortie obtenue en cas de suppression d'un fichier journal. Le système génère un rapport même si le fichier journal est vide, comme dans cet exemple.

# ipmon -F
0 bytes flushed from log buffer
0 bytes flushed from log buffer
0 bytes flushed from log buffer

Enregistrement dans un fichier des paquets consignés

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Enregistrez dans un fichier les paquets consignés.

   # cat /dev/ipl > filename

   Continuez la journalisation des paquets dans le fichier et interrompez la procédure en tapant Ctrl-C pour afficher de nouveau l'invite de ligne de commande.

Exemple 26–24 Enregistrement dans un fichier des paquets consignés

L'exemple ci-dessous présente les résultats obtenus lorsque les paquets consignés sont enregistrés dans un fichier.

# cat /dev/ipl > /tmp/logfile
^C#

# ipmon -f /tmp/logfile
02/09/2004 15:30:28.708294 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 52 -S IN
02/09/2004 15:30:28.708708 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.792611 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 70 -AP IN
02/09/2004 15:30:28.872000 hme0 @0:1 p 129.146.157.149,33923 -> 
 129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872142 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 43 -AP IN
02/09/2004 15:30:28.872808 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN
02/09/2004 15:30:28.872951 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 47 -AP IN
02/09/2004 15:30:28.926792 hme0 @0:1 p 129.146.157.149,33923 -> 
  129.146.157.145,23 PR tcp len 20 40 -A IN 
.
.
(output truncated)

Création et modification des fichiers de configuration Oracle Solaris IP Filter

Vous devez modifier directement les fichiers de configuration afin de créer et modifier les ensembles de règles et les pools d'adresses. Les fichiers de configuration suivent les règles de syntaxe UNIX standard :

• Le signe dièse (#) indique qu'une ligne contient des commentaires.

• Une ligne peut contenir à la fois des commentaires et des règles.

• Vous pouvez ajouter des espaces supplémentaires afin de faciliter la lecture des règles.

• La définition d'une règle peut s'étaler sur plusieurs lignes. Insérez un backslash (\) à la fin d'une ligne pour indiquer que la règle continue sur la ligne suivante.

Création d'un fichier de configuration Oracle Solaris IP Filter

La procédure ci-dessous décrit la configuration des :

• fichiers de configuration de filtrage de paquets ;

• fichiers de configuration des règles NAT ;

• fichiers de configuration de pool d'adresses.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Lancez l'éditeur de fichiers de votre choix. Créez et modifiez le fichier de configuration de la fonction que vous souhaitez configurer.

   • Pour créer un fichier de configuration des règles de filtrage de paquets, modifiez le fichier ipf.conf.

     Oracle Solaris IP Filter utilise les règles de filtrage de paquets spécifiées dans le fichier ipf.conf. Si vous placez le fichier de règles de filtrage de paquets dans le fichier /etc/ipf/ipf.conf, ce fichier est chargé à l'initialisation du système. Pour empêcher le chargement des règles de filtrage à l'initialisation, le cas échéant, placez-les dans le fichier de votre choix. Vous pouvez ensuite activer les règles à l'aide de la commande ipf, comme décrit à la section Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour.

     Pour plus d'informations sur la création de règles de filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter.

     ---

     Remarque –

     Si le fichier ipf.conf est vide, aucun filtrage n'est appliqué. Un fichier ipf.conf vide correspond à un ensemble de règles défini comme suit :

     pass in all pass out all

     ---

   • Pour créer un fichier de configuration des règles NAT, modifiez le fichier ipnat.conf.

     &ProductBase IP Filter utilise les règles NAT spécifiées dans le fichier ipnat.conf. Si vous placez le fichier de règles NAT dans le fichier >/etc/ipf/ipnat.conf, ce fichier est chargé à l'initialisation du système. Pour empêcher le chargement des règles NAT à l'initialisation, le cas échéant, placez le fichier ipnat.conf dans le dossier de votre choix. Ensuite, vous pouvez activer les règles NAT à l'aide de la commande ipnat.

     Pour plus d'informations sur la création de règles NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter.

   • Pour créer un fichier de configuration des pools d'adresses, modifiez le fichier ippool.conf.

     Oracle Solaris IP Filter utilise le pool d'adresses spécifié dans le fichier ippool.conf. Si vous placez le fichier de règles du pool d'adresses dans le fichier /etc/ipf/ippool.conf, ce fichier est chargé à l'initialisation du système. Pour empêcher le chargement du pool d'adresses à l'initialisation, le cas échéant, placez le fichier ippool.conf dans le dossier de votre choix. Ensuite, vous pouvez activer le pool d'adresses à l'aide de la commande ippool.

     Pour plus d'informations sur la création de pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter.

Exemples de fichiers de configuration Oracle Solaris IP Filter

Les exemples ci-dessous illustrent les règles de filtrage de paquets utilisées dans les configurations de filtrage.

Exemple 26–25 Configuration d'un hôte Oracle Solaris IP Filter

Cet exemple correspond à une configuration définie sur une machine hôte avec une interface réseau elxl.

# pass and log everything by default
pass in log on elxl0 all
pass out log on elxl0 all

# block, but don't log, incoming packets from other reserved addresses
block in quick on elxl0 from 10.0.0.0/8 to any
block in quick on elxl0 from 172.16.0.0/12 to any

# block and log untrusted internal IPs. 0/32 is notation that replaces 
# address of the machine running Solaris IP Filter.
block in log quick from 192.168.1.15 to <thishost>
block in log quick from 192.168.1.43 to <thishost>

# block and log X11 (port 6000) and remote procedure call 
# and portmapper (port 111) attempts
block in log quick on elxl0 proto tcp from any to elxl0/32 port = 6000 keep state
block in log quick on elxl0 proto tcp/udp from any to elxl0/32 port = 111 keep state

Cet ensemble de règles commence par deux règles illimitées qui permettent à tout type de données d'entrer et sortir via l'interface elxl. Le deuxième ensemble de règles empêche tout paquet entrant issu des espaces d'adresses privées 10.0.0.0 et 172.16.0.0 de traverser la pare-feu. L'ensemble de règles suivant bloque des adresses internes spécifiques de la machine hôte. Enfin, le dernier ensemble de règles empêche l'entrée des paquets via les ports 6000 et 111.

Exemple 26–26 Configuration d'un serveur Oracle Solaris IP Filter

Cet exemple présente la configuration d'une machine hôte tenant lieu de serveur Web. Cette machine possède une interface réseau eri.

# web server with an eri interface
# block and log everything by default; then allow specific services
# group 100 - inbound rules
# group 200 - outbound rules
# (0/32) resolves to our IP address)
*** FTP proxy ***


# block short packets which are packets fragmented too short to be real.
block in log quick all with short


# block and log inbound and outbound by default, group by destination
block in log on eri0 from any to any head 100
block out log on eri0 from any to any head 200


# web rules that get hit most often
pass in quick on eri0 proto tcp from any \
to eri0/32 port = http flags S keep state group 100
pass in quick on eri0 proto tcp from any \
to eri0/32 port = https flags S keep state group 100


# inbound traffic - ssh, auth
pass in quick on eri0 proto tcp from any \
to eri0/32 port = 22 flags S keep state group 100
pass in log quick on eri0 proto tcp from any \
to eri0/32 port = 113 flags S keep state group 100
pass in log quick on eri0 proto tcp from any port = 113 \
to eri0/32 flags S keep state group 100


# outbound traffic - DNS, auth, NTP, ssh, WWW, smtp
pass out quick on eri0 proto tcp/udp from eri0/32 \
to any port = domain flags S keep state group 200
pass in quick on eri0 proto udp from any port = domain to eri0/32 group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = 113 flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 port = 113 \
to any flags S keep state group 200

pass out quick on eri0 proto udp from eri0/32 to any port = ntp group 200
pass in quick on eri0 proto udp from any port = ntp to eri0/32 port = ntp group 100

pass out quick on eri0 proto tcp from eri0/32 \
to any port = ssh flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = http flags S keep state group 200
pass out quick on eri0 proto tcp from eri0/32 \
to any port = https flags S keep state group 200

pass out quick on eri0 proto tcp from eri0/32 \
to any port = smtp flags S keep state group 200


# pass icmp packets in and out
pass in quick on eri0 proto icmp from any to eri0/32  keep state group 100
pass out quick on eri0 proto icmp from eri0/32 to any keep state group 200


# block and ignore NETBIOS packets
block in quick on eri0 proto tcp from any \
to any port = 135 flags S keep state group 100

block in quick on eri0 proto tcp from any port = 137 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any to any port = 137 group 100
block in quick on eri0 proto udp from any port = 137 to any group 100

block in quick on eri0 proto tcp from any port = 138 \
to any flags S keep state group 100
block in quick on eri0 proto udp from any port = 138 to any group 100

block in quick on eri0 proto tcp from any port = 139 to any flags S keep state
group 100
block in quick on eri0 proto udp from any port = 139 to any group 100

Exemple 26–27 Configuration d'un routeur Oracle Solaris IP Filter

Cet exemple présente la configuration d'un routeur possédant une interface interne, ce0, et une interface externe, ce1.

# internal interface is ce0 at 192.168.1.1
# external interface is ce1 IP obtained via DHCP
# block all packets and allow specific services
*** NAT ***
*** POOLS ***


# Short packets which are fragmented too short to be real.
block in log quick all with short


# By default, block and log everything.
block in log on ce0 all
block in log on ce1 all
block out log on ce0 all
block out log on ce1 all


# Packets going in/out of network interfaces that aren't on the loopback
# interface should not exist.
block in log quick on ce0 from 127.0.0.0/8 to any
block in log quick on ce0 from any to 127.0.0.0/8
block in log quick on ce1 from 127.0.0.0/8 to any
block in log quick on ce1 from any to 127.0.0.0/8


# Deny reserved addresses.
block in quick on ce1 from 10.0.0.0/8 to any
block in quick on ce1 from 172.16.0.0/12 to any
block in log quick on ce1 from 192.168.1.0/24 to any
block in quick on ce1 from 192.168.0.0/16 to any


# Allow internal traffic
pass in quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24
pass out quick on ce0 from 192.168.1.0/24 to 192.168.1.0/24


# Allow outgoing DNS requests from our servers on .1, .2, and .3
pass out quick on ce1 proto tcp/udp from ce1/32 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.2 to any port = domain keep state
pass in quick on ce0 proto tcp/udp from 192.168.1.3 to any port = domain keep state


# Allow NTP from any internal hosts to any external NTP server.
pass in quick on ce0 proto udp from 192.168.1.0/24 to any port = 123 keep state
pass out quick on ce1 proto udp from any to any port = 123 keep state


# Allow incoming mail
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass in quick on ce1 proto tcp from any to ce1/32 port = smtp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = smtp keep state


# Allow outgoing connections: SSH, WWW, NNTP, mail, whois
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 22 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 22 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 80 keep state
pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = 443 keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = 443 keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = nntp keep state
block in quick on ce1 proto tcp from any to any port = nntp keep state
pass out quick on ce1 proto tcp from 192.168.1.0/24 to any port = nntp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = smtp keep state

pass in quick on ce0 proto tcp from 192.168.1.0/24 to any port = whois keep state
pass out quick on ce1 proto tcp from any to any port = whois keep state


# Allow ssh from offsite
pass in quick on ce1 proto tcp from any to ce1/32 port = 22 keep state


# Allow ping out
pass in quick on ce0 proto icmp all keep state
pass out quick on ce1 proto icmp all keep state


# allow auth out
pass out quick on ce1 proto tcp from ce1/32 to any port = 113 keep state
pass out quick on ce1 proto tcp from ce1/32 port = 113 to any keep state


# return rst for incoming auth
block return-rst in quick on ce1 proto tcp from any to any port = 113 flags S/SA


# log and return reset for any TCP packets with S/SA
block return-rst in log on ce1 proto tcp from any to any flags S/SA


# return ICMP error packets for invalid UDP packets
block return-icmp(net-unr) in proto udp all