test

Guide d'administration système : services IP

Gestion des ensembles de règles de filtrage de paquets de Oracle Solaris IP Filter

Lorsque Filtre Solaris IP est activé, les ensembles actif et inactif de règles de filtrage de paquets peuvent résider dans le noyau. L'ensemble de règles actif détermine le filtrage appliqué aux paquets entrants et aux paquets sortants. L'ensemble de règles inactif contient également des règles. Ces règles ne sont pas appliquées, sauf si vous définissez l'ensemble de règles inactif comme l'ensemble de règles actif. Vous pouvez gérer, afficher et modifier les ensembles actif et inactif de règles de filtrage de paquets.

ProcedureAffichage de l'ensemble actif de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Affichez l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.


    # ipfstat -io
Exemple 26–2 Affichage de l'ensemble actif de règles de filtrage de paquets

L'exemple ci-dessous présente la sortie de l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe1 from 192.168.1.0/24 to any
pass in all
block in on dmfe1 from 192.168.1.10/32 to any

ProcedureAffichage de l'ensemble inactif de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Affichez l'ensemble inactif de règles de filtrage de paquets.


    # ipfstat -I -io
Exemple 26–3 Affichage de l'ensemble inactif de règles de filtrage de paquets

L'exemple ci-dessous présente la sortie d'un ensemble inactif de règles de filtrage de paquets.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all

ProcedureActivation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour

Effectuez la procédure ci-dessous pour exécuter l'une ou l'autre des tâches suivantes :

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Procédez de l'une des façons suivantes :

    • Si vous souhaitez activer un ensemble de règles complètement différent, créez-le dans un fichier distinct.

    • Pour mettre à jour l'ensemble de règles actuel, modifiez le fichier de configuration contenant l'ensemble de règles.

  3. Supprimez l'ensemble de règles actuel et chargez le nouvel ensemble de règles.


    # ipf -Fa -f filename

    La variable fichier peut correspondre à un fichier contenant un ensemble de règles complètement différent, ou au fichier contenant l'ensemble de règles actif, mis à jour.

    L'ensemble de règles actif est supprimé du noyau. Les règles du fichier constituent dorénavant l'ensemble de règles actif.

    Remarque –

    Même si vous rechargez le fichier de configuration actuel, vous devez exécuter la commande. Dans le cas contraire, le système ignore l'ensemble de règles modifié défini dans le fichier de configuration mis à jour et continue d'appliquer l'ancien ensemble de règles.

    N'utilisez pas de commandes telles que ipf -D ou svcadm restart pour charger l'ensemble de règles mis à jour. Ces commandes affectent la sécurité du réseau, car elles désactivent le pare-feu avant de charger le nouvel ensemble de règles.

Exemple 26–4 Activation d'un nouvel ensemble de règles de filtrage de paquets

Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets est remplacé par un autre ensemble se trouvant dans un fichier de configuration distinct, /etc/ipf/ipf.conf.


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
Exemple 26–5 Rechargement d'un ensemble de règles de filtrage de paquets mis à jour

Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets actuellement actif est rechargé suite à sa mise à jour. Dans cet exemple, le fichier utilisé est /etc/ipf/ipf.conf.


# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any

ProcedureSuppression d'un ensemble de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Supprimez l'ensemble de règles.


    # ipf -F [a|i|o]
    -a

    Supprime toutes les règles de filtrage de l'ensemble de règles.

    -i

    Supprime les règles de filtrage pour les paquets entrants.

    -o

    Supprime les règles de filtrage pour les paquets sortants.

Exemple 26–6 Suppression d'un ensemble de règles de filtrage de paquets

Dans l'exemple ci-dessous, toutes les règles de filtrage sont supprimées de l'ensemble de règles de filtrage actif.


# ipfstat -io
block out log on dmf0 all
block in log quick from 10.0.0.0/8 to any
# ipf -Fa
# ipfstat -io
empty list for ipfilter(out)
empty list for ipfilter(in)

ProcedureAjout de règles à l'ensemble actif de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Appliquez l'une des méthodes ci-dessous pour ajouter des règles à l'ensemble de règles actif :

    • Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ipf -f -.


      # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -

    • Exécutez les commandes ci-dessous :

      1. Créez un ensemble de règles dans le fichier de votre choix.

      2. Ajoutez ces règles à l'ensemble de règles actif.


        # ipf -f filename

        Les règles présentes dans le fichier sont ajoutées à la fin de l'ensemble de règles actif. Filtre Solaris IP appliquant un algorithme de type "dernière règle correspondante", les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.

Exemple 26–7 Ajout de règles à l'ensemble actif de règles de filtrage de paquets

Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble actif de règles de filtrage de paquets à partir de la ligne de commande.


# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any

ProcedureAjout de règles à l'ensemble inactif de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Créez un ensemble de règles dans le fichier de votre choix.

  3. Ajoutez ces règles à l'ensemble de règles inactif.


    # ipf -I -f filename

    Les règles présentes dans le fichier sont ajoutées à la fin de l'ensemble de règles inactif. Filtre Solaris IP appliquant un algorithme de type "dernière règle correspondante", les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.

Exemple 26–8 Ajout de règles à l'ensemble de règles inactif

Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles inactif à partir d'un fichier.


# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
# ipf -I -f /etc/ipf/ipf.conf
# ipfstat -I -io
pass out quick on dmfe1 all
pass in quick on dmfe1 all
block in log quick from 10.0.0.0/8 to any

ProcedureBasculement entre les ensembles actif et inactif de règles de filtrage de paquets

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Basculez entre les ensembles de règles actif et inactif.


    # ipf -s

    Cette commande permet de basculer entre les ensembles de règles actif et inactif dans le noyau. Si l'ensemble de règles inactif est vide, aucun filtrage de paquets n'est effectué.

Exemple 26–9 Basculement entre les ensembles actif et inactif de règles de filtrage de paquets

Dans l'exemple ci-dessous, la commande ipf -s est exécutée. L'ensemble de règles inactif devient alors l'ensemble de règles actif, tandis que l'ensemble de règles actif devient l'ensemble de règles inactif.

ProcedureSuppression d'un ensemble inactif de règles de filtrage de paquets du noyau

  1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

    Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

  2. Spécifiez l'ensemble de règles inactif via la commande "flush all".


    # ipf -I -Fa

    Cette commande vide l'ensemble de règles inactif du noyau.

    Remarque –

    Si vous exécutez ensuite la commande ipf -s, l'ensemble de règles inactif vide devient l'ensemble de règles actif. Si l'ensemble de règles actif est vide, aucun filtrage n'est effectué.

Exemple 26–10 Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau

Dans l'exemple ci-dessous, l'ensemble inactif de règles de filtrage de paquets est vidé afin de supprimer toutes les règles.


# ipfstat -I -io
empty list for inactive ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
# ipf -I -Fa
# ipfstat -I -io
empty list for inactive ipfilter(out)
empty list for inactive ipfilter(in)