Teil I Einführung in die Systemverwaltung: IP Services
1. Oracle Solaris TCP/IP-Protokollfamilie (Übersicht)
Teil II Administration von TCP/IP
2. Planen Ihres TCP/IP-Netzwerks (Vorgehen)
3. Einführung in IPv6 (Überblick)
4. Planen eines IPv6-Netzwerks (Aufgaben)
5. Konfiguration der TCP/IP-Netzwerkservices und IPv4-Adressierung (Aufgaben)
6. Verwalten von Netzwerkschnittstellen (Aufgaben)
7. Konfigurieren eines IPv6-Netzwerks (Vorgehen)
8. Verwaltung eines TCP/IP-Netzwerks (Aufgaben)
9. Fehlersuche bei Netzwerkproblemen (Aufgaben)
10. TCP/IP und IPv4 im Detail (Referenz)
12. Einführung in DHCP (Übersicht)
13. Planungen für den DHCP-Service (Aufgaben)
14. Konfiguration des DHCP-Services (Aufgaben)
15. Verwalten von DHCP (Aufgaben)
16. Konfiguration und Verwaltung des DHCP-Clients
17. DHCP-Fehlerbehebung (Referenz)
18. DHCP - Befehle und Dateien (Referenz)
19. IP Security Architecture (Übersicht)
20. Konfiguration von IPsec (Aufgaben)
21. IP Security Architecture (Referenz)
22. Internet Key Exchange (Übersicht)
23. Konfiguration von IKE (Aufgaben)
24. Internet Key Exchange (Referenz)
25. IP Filter in Oracle Solaris (Übersicht)
So aktivieren Sie IP Filter erneut
So aktivieren Sie die Loopback-Filterung
Deaktivieren und Stoppen von IP Filter
So deaktivieren Sie die Paketfilterung
So stoppen Sie die Paketfilterung
So aktivieren Sie IP Filter in älteren Solaris-Versionen
So aktivieren Sie eine NIC für die Paketfilterung
So deaktivieren Sie IP Filter auf einer NIC
So zeigen Sie die pfil-Statistiken für IP Filter an
Arbeiten mit IP Filter-Regellisten
Verwalten der Paketfilter-Regellisten für IP Filter
So zeigen Sie die aktive Paketfilter-Regelliste an
So zeigen Sie die inaktive Paketfilter-Regelliste an
So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste
So entfernen Sie eine Paketfilter-Regelliste
So fügen Sie der aktiven Paketfilter-Regelliste Regeln hinzu
So fügen Sie der inaktiven Paketfilter-Regelliste Regeln hinzu
So wechseln Sie zwischen der aktiven und inaktiven Paketfilter-Regelliste
So entfernen Sie eine inaktive Paketfilter-Regelliste aus dem Kernel
Verwalten der NAT-Regeln für IP Filter
So zeigen Sie die aktiven NAT-Regeln an
So hängen Sie Regeln an die NAT-Regelliste an
Verwalten der Adresspools für IP Filter
So zeigen Sie die aktiven Adresspools an
Anzeigen von Statistiken und Informationen zu IP Filter
So zeigen Sie die Statustabellen für IP Filter an
So zeigen Sie die Statusstatistiken für IP Filter an
So zeigen Sie die NAT-Statistiken für IP Filter an
So zeigen Sie die Adresspool-Statistiken für IP Filter an
Arbeiten mit Protokolldateien für IP Filter
So richten Sie eine Protokolldatei für IP Filter ein
So zeigen Sie IP Filter-Protokolldateien an
So leeren Sie die Paketprotokolldatei
So speichern Sie protokollierte Pakete in einer Datei
Erstellen und Bearbeiten von Konfigurationsdateien für IP Filter
So erstellen Sie eine Konfigurationsdatei für IP Filter
Beispiel für IP Filter-Konfigurationsdateien
28. Verwalten von Mobile IP (Aufgaben)
29. Mobile IP-Dateien und Befehle (Referenz)
30. Einführung in IPMP (Übersicht)
31. Verwaltung von IPMP (Aufgaben)
Teil VII IP Quality of Service (IPQoS)
32. Einführung in IPQoS (Übersicht)
33. Planen eines IPQoS-konformen Netzwerks (Aufgaben)
34. Erstellen der IPQoS-Konfigurationsdatei (Aufgaben)
35. Starten und Verwalten des IPQoS (Aufgaben)
36. Verwenden von Flow Accounting und Erfassen von Statistiken (Aufgaben)
In der folgenden Tabelle sind die Verfahren zum Arbeiten mit den IP Filter-Regellisten aufgeführt.
Tabelle 26-4 Arbeiten mit IP Filter-Regellisten (Übersicht der Schritte)
|
Wenn die Aktivierung erfolgt ist, können sowohl aktive als auch inaktive Paketfilter-Regellisten im Kernel gespeichert sein. Die aktive Regelliste legt fest, welche Filterung an eingehenden und abgehenden Paketen durchgeführt wird. Auch in der inaktiven Regelliste sind Regeln gespeichert. Diese Regeln werden jedoch nicht verwendet, bis Sie die inaktive Regelliste zur aktiven Regelliste machen. Sie können sowohl die aktive als auch die inaktive Paketfilter-Regelliste verwalten, anzeigen und ändern.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipfstat -io
Beispiel 26-2 Anzeigen der aktiven Paketfilter-Regelliste
Iem folgenden Beispiel wird die Ausgabe der aktiven, in den Kernel geladenen Paketfilter-Regelliste gezeigt.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipfstat -I -io
Beispiel 26-3 Anzeigen der inaktiven Paketfilter-Regelliste
Im folgenden Beispiel wird die Ausgabe der inaktiven Paketfilter-Regelliste gezeigt.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
Wenden Sie das folgende Verfahren an, wenn Sie eine der folgenden Aufgaben durchführen möchten:
Aktivieren einer anderen Paketfilter-Regelliste als der, die derzeit von IP Filter verwendet wird.
Neuladen einer aktualisierten Paketfilter-Regelliste.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Erstellen Sie eine neue Regelliste in einer separaten Datei Ihrer Wahl, wenn Sie eine vollständig andere Regelliste aktivieren möchten.
Aktualisieren Sie die aktuelle Regelliste, indem Sie die Konfigurationsdatei bearbeiten, in der die Regelliste enthalten ist.
# ipf -Fa -f filename
Der Dateiname kann entweder der Name einer neuen Datei mit der neuen Regelliste oder der Name einer aktualisierten Datei sein, die die aktive Regelliste enthält.
Die aktive Regelliste wird aus dem Kernel entfernt. Die Regeln in der Datei Dateiname werden zur aktiven Regelliste.
Hinweis - Sie müssen diesen Befehl auch dann eingeben, wenn Sie die aktuelle Konfigurationsdatei neu laden. Andernfalls bleibt die alte Regelliste aktiviert, und die geänderte Regelliste in der aktualisierten Konfigurationsdatei wird nicht übernommen.
Verwenden Sie keine Befehle wie ipf -D oder svcadm restart, um die aktualisierte Regelliste zu laden. Diese Befehle legen Ihr Netzwerk offen, da sie die Firewall vor dem Laden der neuen Regelliste deaktivieren.
Beispiel 26-4 Aktivieren einer anderen Paketfilter-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie eine Paketfilter-Regelliste durch eine andere Liste in einer separaten Konfigurationsdatei (/etc/ipf/ipf.conf) ersetzen.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Beispiel 26-5 Neuladen einer aktualisierten Paketfilter-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie eine derzeit aktive und aktualisierte Paketfilter-Regelliste neu laden. Die in diesem Beispiel verwendete Datei heißt /etc/ipf/ipf.conf.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipf -F [a|i|o]
Entfernt alle Filterregeln aus der Regelliste.
Entfernt alle Filterregeln für eingehende Pakete.
Entfernt alle Filterregeln für abgehende Pakete.
Beispiel 26-6 Entfernen einer Paketfilter-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie alle Filterregeln aus der aktiven Paketfilter-Regelliste entfernen.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipf -f - zur Regelliste hinzu.
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie eine Regelliste in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zur aktiven Regelliste hinzu.
# ipf -f filename
Die Regeln in der Datei Dateiname werden am Ende der aktiven Regelliste eingefügt. Da IP Filter den "last matching rule"-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, Sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt. Alle weiteren Regeln werden ignoriert.
Beispiel 26-7 Anhängen von Regeln an die aktive Paketfilter-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive Paketfilter-Regelliste anhängen.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipf -I -f filename
Die Regeln in der Datei Dateiname werden am Ende der inaktiven Regelliste eingefügt. Da IP Filter den "last matching rule"-Algorithmus verwendet, legen die hinzugefügten Regeln die Filterprioritäten fest, es sei denn, Sie verwenden das Schlüsselwort quick. Wenn ein Paket einer Regel entspricht, die das Schlüsselwort quick enthält, wird die Aktion für diese Regel ausgeführt. Alle weiteren Regeln werden ignoriert.
Beispiel 26-8 Anhängen von Regeln an die interaktive Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel aus einer Datei zur inaktiven Paketfilter-Regelliste hinzufügen.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipf -s
Mit diesem Befehl können Sie zwischen der aktiven und der inaktiven Paketfilter-Regelliste im Kernel wechseln. Falls die inaktive Regelliste leer ist, findet keine Paketfilterung statt.
Beispiel 26-9 Wechseln zwischen der aktiven und der inaktiven Paketfilter-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie mit dem Befehl ipf -s die inaktive Regelliste zur aktiven Regelliste machen und die aktive Regelliste zur inaktiven.
Bevor Sie den Befehl ipf -s ausführen, zeigt die Ausgabe des Befehls ipfstat -I -io die Regeln in der inaktiven Regelliste an. Die Ausgabe des Befehls ipfstat - io zeigt die Regeln in der aktiven Regelliste an.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Nach dem Ausführen des Befehls ipf -s zeigt die Ausgabe der Befehle ipfstat -I -io und ipfstat -io die Inhalte der zwei gewechselten Regellisten an.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipf -I -Fa
Mit diesem Befehl entfernen Sie die inaktive Paketfilter-Regelliste aus dem Kernel.
Hinweis - Wenn Sie anschließend den Befehl ipf -s ausführen, wird die leere inaktive Regelliste zur aktiven Regelliste. Eine leere aktive Regelliste bedeutet, dass keine Filterung durchgeführt wird.
Beispiel 26-10 Löschen einer inaktiven Paketfilter-Regelliste aus dem Kernel
Im folgenden Beispiel wird gezeigt, wie Sie die in aktive Paketfilter-Regelliste entfernen, sodass keine Regeln angewendet werden.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
Zum Verwalten, Anzeigen und Ändern der NAT-Regeln wenden Sie die folgenden Verfahren an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipnat -l
Beispiel 26-11 Anzeigen der aktiven NAT-Regeln
Im folgenden Beispiel wird die Ausgabe der aktiven NAT-Regelliste gezeigt.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ipnat -C
Beispiel 26-12 Entfernen der NAT-Regeln
Im folgenden Beispiel wird gezeigt, wie Sie die Einträge aus der aktuellen NAT-Regelliste entfernen.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ipnat -f - zur NAT-Regelliste hinzu.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie eine NAT-Regelliste in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zur aktiven NAT-Regelliste hinzu.
# ipnat -f filename
Die Regeln in der Datei Dateiname werden am Ende der NAT-Regelliste eingefügt.
Beispiel 26-13 Anhängen von Regeln an die NAT-Regelliste
Im folgenden Beispiel wird gezeigt, wie Sie eine Regel über die Befehlszeile an die aktive NAT-Regelliste anhängen.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Zum Verwalten, Anzeigen und Ändern der Adresspools wenden Sie die folgenden Verfahren an.
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ippool -l
Beispiel 26-14 Anzeigen des aktiven Adresspools
Im folgenden Beispiel wird gezeigt, wie Sie den Inhalt des aktiven Adresspools anzeigen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
# ippool -F
Beispiel 26-15 Entfernen eines Adresspools
Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool entfernen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l
Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen der Rolle und zum Zuweisen der Rolle zu einem Benutzer finden Sie unter Konfigurieren von RBAC (Übersicht der Schritte) in Systemverwaltungshandbuch: Sicherheitsservices.
Fügen Sie die Regeln über eine Befehlszeile mithilfe des Befehls ippool -f - zur Regelliste hinzu.
# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
Führen Sie einen der folgenden Befehle aus:
Erstellen Sie einen zusätzlichen Adresspool in einer Datei Ihrer Wahl.
Fügen Sie die von Ihnen erstellten Regeln zum aktiven Adresspool hinzu.
# ippool -f filename
Die Regeln in der Datei Dateiname werden am Ende des aktiven Adresspools eingefügt.
Beispiel 26-16 Anhängen von Regeln an einen Adresspool
Im folgenden Beispiel wird gezeigt, wie Sie einen Adresspool über die Befehlszeile der aktuellen Adresspool-Regelliste hinzufügen.
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };