Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter (Guide d'administration système : services IP)

Guide d'administration système : services IP

Utilisation de la fonctionnalité de pools d'adresses de Oracle Solaris IP Filter

Les pools d'adresses constituent une référence unique pour nommer un groupe de paires adresse/masque de réseau. Les processus fournis pas les pools d'adresses permettent de trouver plus rapidement les adresses IP correspondant aux règles. En outre, ils facilitent la gestion des grands groupes d'adresses.

Les règles de configuration de pool d'adresses sont définies dans le fichier ippool.conf. Si vous souhaitez charger le fichier de règles de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer les règles de pool. Dans le cas contraire, placez le fichier ippool.conf à un autre endroit, puis activez manuellement le filtrage de paquets à l'aide de la commande ippool.

Configuration des pools d'adresses

Pour créer un pool d'adresses, appliquez la syntaxe suivante :

table role = role-name type = storage-format number = reference-number

table: Définit la référence des adresses.
role: Spécifie le rôle du pool dans Oracle Solaris IP Filter. À ce stade, vous ne pouvez faire référence qu'au rôle ipf.
type: Spécifie le format de stockage du pool.
numéro: Spécifie le numéro de référence utilisé par la règle de filtrage.

Par exemple, pour faire référence aux groupes d'adresses 10.1.1.1 et 10.1.1.2 et au réseau 192.16.1.0 à l'aide du numéro de pool 13, insérez la règle suivante dans le fichier de configuration de pool d'adresses :

table role = ipf type = tree number = 13 
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24 };

Ensuite, pour faire référence au numéro de pool 13 dans une règle de filtrage, élaborez une règle similaire à la suivante :

pass in from pool/13 to any

Vous devez charger le fichier de pool avant de charger les règles contenant une référence au pool. Dans le cas contraire, le pool n'est pas défini, comme indiqué dans la sortie suivante :

# ipfstat -io
empty list for ipfilter(out)
block in from pool/13(!) to any

Si vous ajoutez le pool par la suite, l'ensemble de règle du noyau n'est pas mis à jour. Vous devez également recharger le fichier de règles faisant référence au pool.

Pour obtenir la syntaxe et la grammaire complètes utilisées pour écrire des règles de filtrage de paquets, reportez-vous à la page de manuel ippool(4).