Configuration de Oracle Solaris IP Filter

La liste des tâches suivante explique les procédures de la configuration de Oracle Solaris IP Filter.

Tableau 26–1 Configuration de Oracle Solaris IP Filter (liste des tâches)

Tâche	Description	Voir
Commencez par activer Oracle Solaris IP Filter.	Par défaut, Oracle Solaris IP Filter n'est pas activé. Activez-le manuellement ou à l'aide des fichiers de configuration disponibles dans le répertoire /etc/ipf/, puis réinitialisez le système. À partir de la version Solaris 10 7/07, des crochets de filtre de paquets remplacent le module pfil pour activer Oracle Solaris IP Filter.	Activation de Oracle Solaris IP Filter
Réactivez Oracle Solaris IP Filter.	Si Oracle Solaris IP Filter est désactivé, vous pouvez le réactiver soit en réinitialisant le système, soit en exécutant la commande ipf.	Réactivation de Oracle Solaris IP Filter
Activation du filtrage de loopback	Disponible en option, le filtrage de loopback permet, par exemple, de filtrer le trafic entre les zones.	Activation du filtrage de loopback

Activation de Oracle Solaris IP Filter

Cette procédure permet d'activer Oracle Solaris IP Filter sur un système exécutant le SE Solaris 10 7/07 ou une version ultérieure. Si le système exécute une version Oracle Solaris 10 antérieure à la version Solaris 10 7/07, reportez-vous à la section Utilisation du module pfil pour activer Oracle Solaris IP Filter.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Créez un ensemble de règles de filtrage de paquets.

   L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par Oracle Solaris IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration Oracle Solaris IP Filter.

3. (Facultatif) Créez un fichier de configuration NAT (Network Address Translation, translation d'adresse réseau).

   ---

   Remarque –

   NAT ne prend pas en charge IPv6.

   ---

   Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.

   Pour plus d'informations sur la fonction NAT (Network Address Translation), reportez-vous à la section Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter.

4. (Facultatif) Créez un fichier de configuration de pool d'adresses.

   Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.

   Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.

   Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter.

5. (Facultatif) Activez le filtrage de trafic en loopback.

   Pour filtrer le trafic entre les zones configurées sur le système, le cas échéant, activez le filtrage de loopback. Reportez-vous à la section Activation du filtrage de loopback. Vous devez également définir les ensembles de règles adéquats applicables aux zones.

6. Activez Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

Réactivation de Oracle Solaris IP Filter

Si le filtrage de paquets a été temporairement désactivé, vous pouvez le réactiver.

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Activez Oracle Solaris IP Filter et le filtrage selon l'une des méthodes ci-dessous :

   • Redémarrez l'ordinateur.

     # reboot

     ---

     Remarque –

     Lorsque IP Filter est activé, les fichiers suivants sont chargés après une réinitialisation s'ils sont présents : le fichier /etc/ipf/ipf.conf, le fichier /etc/ipf/ipf6.conf en cas d'utilisation d'IPv6 ou le fichier /etc/ipf/ipnat.conf.

     ---

   • Exécutez les commandes suivantes pour activer Oracle Solaris IP Filter et le filtrage :

     1. Activez Oracle Solaris IP Filter.

        # ipf -E

     2. Activez le filtrage de paquets.

        # ipf -f filename

     3. (Facultatif) Activez NAT.

        # ipnat -f filename

        ---

        Remarque –

        NAT ne prend pas en charge IPv6.

        ---

Activation du filtrage de loopback

---

Remarque –

Vous pouvez filtrer le trafic de loopback uniquement si vous exécutez la version Solaris 10 7/07&; ou une version ultérieure. Dans les versions antérieures à Oracle Solaris 10, le filtrage de loopback n'était pas pris en charge.

---

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Arrêtez Oracle Solaris IP Filter, le cas échéant.

   # svcadm disable network/ipfilter

3. Ajoutez la ligne suivante au début du fichier /etc/ipf.conf ou /etc/ipf6.conf :

   set intercept_loopback true;

   Cette ligne doit précéder toutes les règles de filtre IP définies dans le fichier. Toutefois, vous pouvez insérer des commentaires avant la ligne, comme dans l'exemple ci-dessous :

   # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...

4. Démarrez Oracle Solaris IP Filter.

   # svcadm enable network/ipfilter

5. Pour vérifier le statut du filtrage de loopback, exécutez la commande ci-dessous :

   # ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #

   Si le filtrage de loopback est désactivé, la commande génère la sortie suivante :

   ipf_loopback min 0 max 0x1 current 0