Activation de Oracle Solaris IP Filter dans des versions antérieures de Oracle Solaris 10 (Guide d'administration système : services IP)

Guide d'administration système : services IP

Activation de Oracle Solaris IP Filter dans des versions antérieures de Oracle Solaris 10

Oracle Solaris IP Filter est installé avec Oracle Solaris. Toutefois, le filtrage de paquets n'est pas activé par défaut. Pour activer &ProductBase IP Filter, suivez la procédure suivante :

Remarque –

Si votre système exécute la version Solaris 10 7/07 ou une version ultérieure, suivez la procédure Activation de Oracle Solaris IP Filter utilisant des crochets de filtre de paquets.

Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

Ouvrez le fichier /etc/ipf/pfil.ap dans l'éditeur de fichiers de votre choix.

Ce fichier contient les noms des cartes d'interface réseau (NIC, Network Interface Card) présentes sur l'hôte. Par défaut, les noms sont commentés. Annulez le commentaire des noms de périphérique correspondant au trafic réseau que vous souhaitez filtrer. Si la NIC de votre système n'est pas répertoriée, ajoutez une ligne pour la spécifier.

# vi /etc/ipf/pfil.ap
# IP Filter pfil autopush setup
#
# See autopush(1M) manpage for more information.
#
# Format of the entries in this file is:
#
#major  minor lastminor modules

#le     -1      0       pfil
#qe     -1      0       pfil
hme     -1      0       pfil (Device has been uncommented for filtering)
#qfe    -1      0       pfil
#eri    -1      0       pfil
#ce     -1      0       pfil
#bge    -1      0       pfil
#be     -1      0       pfil
#vge    -1      0       pfil
#ge     -1      0       pfil
#nf     -1      0       pfil
#fa     -1      0       pfil
#ci     -1      0       pfil
#el     -1      0       pfil
#ipdptp -1      0       pfil
#lane   -1      0       pfil
#dmfe   -1      0       pfil

Activez les modifications apportées au fichier /etc/ipf/pfil.ap en redémarrant l'instance de service network/pfil.
# svcadm restart network/pfil

Créez un ensemble de règles de filtrage de paquets.

L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par Oracle Solaris IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets de Oracle Solaris IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration Oracle Solaris IP Filter.

(Facultatif) Créez un fichier de configuration NAT (Network Address Translation, translation d'adresse réseau).

Remarque –
NAT ne prend pas en charge IPv6.

Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.

Pour plus d'informations sur la fonction NAT (Network Address Translation), reportez-vous à la section Utilisation de la fonctionnalité NAT de Oracle Solaris IP Filter.

(Facultatif) Créez un fichier de configuration de pool d'adresses.

Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.

Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.

Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter.

Activez Oracle Solaris IP Filter selon l'une des méthodes suivantes :

Activez IP Filter et réinitialisez la machine.
# svcadm enable network/ipfilter # reboot
Remarque –
La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.

Activez les NIC à l'aide des commandes ifconfig unplumb et ifconfig plumb. Activez ensuite IP Filter. La version inet6 de l'interface doit être montée afin de permettre l'implémentation du filtrage de paquets IPv6.

# ifconfig hme0 unplumb
# ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up
# ifconfig hme0 inte6 unplumb
# ifconfig hme0 inet6 plumb fec3:f849::1/96 up
# svcadm enable network/ipfilter

Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).