Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
Deaktivieren und Stoppen von IP Filter
So deaktivieren Sie die Paketfilterung
So stoppen Sie die Paketfilterung
So aktivieren Sie IP Filter in älteren Solaris-Versionen
So aktivieren Sie eine NIC für die Paketfilterung
So deaktivieren Sie IP Filter auf einer NIC
So zeigen Sie die pfil-Statistiken für IP Filter an
Arbeiten mit IP Filter-Regellisten
Verwalten der Paketfilter-Regellisten für IP Filter
So zeigen Sie die aktive Paketfilter-Regelliste an
So zeigen Sie die inaktive Paketfilter-Regelliste an
So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste
So entfernen Sie eine Paketfilter-Regelliste
So fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu
So fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu
So wechseln Sie zwischen der aktiven und inaktiven Paketfilter-Regelliste
So entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel
Verwalten der NAT-Regeln für IP Filter
So zeigen Sie die aktiven NAT-Regeln an
So hängen Sie Regeln an die NAT-Regelliste an
Verwalten der Adresspools für IP Filter
So zeigen Sie die aktiven Adresspools an
So entfernen Sie einen Adresspool
So hängen Sie Regeln an einen Adresspool an
Anzeigen von Statistiken und Informationen zu IP Filter
So zeigen Sie die Statustabellen für IP Filter an
So zeigen Sie die Statusstatistiken für IP Filter an
So zeigen Sie die NAT-Statistiken für IP Filter an
So zeigen Sie die Adresspool-Statistiken für IP Filter an
Arbeiten mit Protokolldateien für IP Filter
So richten Sie eine Protokolldatei für IP Filter ein
So zeigen Sie IP Filter-Protokolldateien an
So leeren Sie die Paketprotokolldatei
So speichern Sie protokollierte Pakete in einer Datei
Erstellen und Bearbeiten von Konfigurationsdateien für IP Filter
So erstellen Sie eine Konfigurationsdatei für IP Filter
Beispiel für IP Filter-Konfigurationsdateien
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
In der folgenden Tabelle sind die Verfahren zur Konfiguration von IP Filter aufgeführt.
Tabelle 26-1 Konfigurieren von IP Filter (Übersicht der Schritte)
|
Mit dem folgenden Verfahren aktivieren Sie IP Filter auf einem System, auf dem mindestens Solaris 10 7/07 ausgeführt wird. Um IP Filter auch dann auszuführen, wenn eine Oracle Solaris 10-Version vor Solaris 10 7/07 ausgeführt wird, lesen Sie Arbeiten mit dem pfil-Modul.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Die Paketfilter-Regelliste enthält Regeln, die von IP Filter verwendet werden. Wenn die Paketfilterregeln beim Booten geladen werden sollen, müssen Sie die Datei /etc/ipf/ipf.conf so bearbeiten, dass sie die IPv4-Paketfilterung implementiert. Für IPv6-Paketfilterregeln verwenden Sie die Datei /etc/ipf/ipf6.conf. Sollen die Paketfilterregeln nicht beim Booten geladen werden, speichern Sie die Regeln in einer Datei in einem beliebigen Verzeichnis, und aktivieren Sie die Paketfilterung dann manuell. Informationen zur Paketfilterung finden Sie unter Verwenden der Paketfilter-Funktion in IP Filter. Informationen zum Arbeiten mit Konfigurationsdateien finden Sie unter Erstellen und Bearbeiten von Konfigurationsdateien für IP Filter.
Hinweis - Network Address Translation (NAT) unterstützt IPv6 nicht.
Erstellen Sie eine Datei ipnat.conf, wenn Sie die Network Address Translation verwenden möchten. Wenn die NAT-Regeln beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ipnat.conf, in der Sie die NAT-Regeln anlegen. Sollen die NAT-Regeln nicht beim Booten geladen werden, speichern Sie die Datei ipnat.conf in einem beliebigen anderen Verzeichnis und aktivieren die NAT-Regeln dann manuell.
Weitere Informationen zu NAT finden Sie unter Verwenden der NAT-Funktion in IP Filter.
Erstellen Sie eine Datei ipool.conf, wenn Sie eine Adressengruppe als einen Adresspool ansprechen möchten. Wenn die Adresspool-Konfigurationsdatei beim Booten geladen werden soll, erstellen Sie eine Datei namens /etc/ipf/ippool.conf, in der Sie den Adresspool anlegen. Soll die Adresspool-Konfiguration nicht beim Booten geladen werden, speichern Sie die Datei ippool.conf in einem beliebigen anderen Verzeichnis und aktivieren die Regeln dann manuell.
Ein Adresspool kann entweder nur IPv4-Adressen oder nur IPv6-Adressen enthalten. Er kann auch sowohl IPv4- als auch IPv6-Adressen enthalten.
Weitere Informationen zu Adresspools finden Sie unter Verwenden der Adresspool-Funktion in IP Filter.
Falls Sie beabsichtigen, Datenverkehr zwischen auf Ihrem System konfigurierten Zonen zu filtern, müssen Sie die Loopback-Filterung aktivieren. Lesen Sie dazu So aktivieren Sie die Loopback-Filterung. Denken in Sie daran, entsprechende Regellisten für die Zonen zu definieren.
# svcadm enable network/ipfilter
Sie können die Paketfilterung neu aktivieren, nachdem sie vorübergehend deaktiviert wurde.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Starten Sie den Computer neu.
# reboot
Hinweis - Wenn IP Filter aktiviert ist, werden bei einem Neustart die folgenden Dateien geladen, sofern sie vorhanden sind: /etc/ipf/ipf.conf, /etc/ipf/ipf6.conf, wenn IPv6 verwendet wird, oder /etc/ipf/ipnat.conf.
Rufen Sie die folgenden Befehle auf, um IP Filter zu starten und die Filterung zu aktivieren:
Starten Sie IP Filter.
# ipf -E
Aktivieren Sie die Paketfilterung.
# ipf -f filename
(Optional) Aktivieren Sie NAT.
# ipnat -f filename
Hinweis - Network Address Translation (NAT) unterstützt IPv6 nicht.
Hinweis - Sie können Loopback-Verkehr nur dann filtern, wenn auf Ihrem System mindestens Version Solaris 10 7/07 ausgeführt wird. In älteren Oracle Solaris 10-Versionen wird die Loopback-Filterung nicht unterstützt.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# svcadm disable network/ipfilter
set intercept_loopback true;
Die Zeile muss vor allen IP-Filterregeln stehen, die in der Datei definiert sind. Sie können Befehle auch vor dieser Zeile einfügen. Betrachten Sie dazu das folgende Beispiel:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...
# svcadm enable network/ipfilter
# ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #
Wenn die Loopback-Filterung deaktiviert ist, wird durch den Befehl die folgende Ausgabe erzeugt:
ipf_loopback min 0 max 0x1 current 0