Guide d'administration système : services IP

Traitement des paquets de Oracle Solaris IP Filter

Lors du traitement d'un paquet, Oracle Solaris IP Filter exécute une série d'étapes. Le diagramme ci-dessous illustre les étapes du traitement d'un paquet et l'intégration du filtrage à la pile de protocole TCP/IP.

Figure 25–1 Séquence de traitement d'un paquet

Affiche les étapes associées au traitement d'un paquet par Oracle Solaris IP Filter.

Le traitement d'un paquet inclut les opérations suivantes :

Translation d'adresse réseau (NAT)

Translation d'une adresse IP privée vers une adresse publique, ou définition d'alias pour plusieurs adresses privées vers une adresse publique unique. NAT (Network Address Translation, translation d'adresse réseau) permet à une organisation de résoudre le problème d'épuisement des adresses IP lorsqu'elle utilise un réseau et requiert l'accès à Internet.
Comptabilité IP

Les règles d'entrée et de sortie peuvent être configurées séparément, avec enregistrement du nombre d'octets transmis. En cas de correspondance d'une règle, le nombre d'octets du paquet est ajouté à la règle et des statistiques en cascade sont rassemblées.
Vérification du cache de fragment

Si un paquet du trafic en cours constitue un fragment et que le paquet précédent a été autorisé, le fragment de paquet est également autorisé, sans consultation de la table d'état ni vérification de règle.
Vérification de l'état du paquet

Si la règle contient l'instruction keep state, tous les paquets d'une session spécifiée sont automatiquement transmis ou bloqués, selon la spécification de la règle : pass (transmettre) ou block (bloquer).
Vérification du pare-feu

Les règles d'entrée et de sortie peuvent être configurées séparément, afin d'autoriser ou non la transmission d'un paquet, via Filtre Solaris IP , vers les routines TCP/IP du noyau ou vers le réseau.
Groupes

Les groupes permettent d'écrire des ensembles de règles selon une structure arborescente.
Fonction

Une fonction correspond à l'action à réaliser. Les fonctions sont, par exemple, block (bloquer), pass (transmettre), literal (littéral) et send ICMP response (envoyer une réponse ICMP).
FastRoute

FastRoute indique à Filtre Solaris IP de ne pas transmettre le paquet vers la pile UNIX IP pour le routage, ce qui entraîne une réduction TTL.
Authentification IP

Les paquets authentifiés ne sont transmis via les boucles du pare-feu qu'une seule fois, afin d'éviter le traitement multiple de certains paquets.