Ignorer les liens de navigation | |
Quitter l'aperu | |
Administration d'Oracle Solaris : Services IP Oracle Solaris 11 Information Library (Français) |
Partie I Administration TCP/IP
1. Planification du développement du réseau
2. Eléments à prendre en compte lors de l'utilisation d'adresses IPv6
3. Configuration d'un réseau IPv4
4. Activation d'IPv6 sur le réseau
5. Administration d'un réseau TCP/IP
6. Configuration de tunnels IP
7. Dépannage des problèmes de réseau
10. A propos de DHCP (présentation)
11. Administration du service DHCP ISC
12. Configuration et administration du client DHCP
13. Commandes et fichiers DHCP (référence)
14. Architecture IPsec (présentation)
15. Configuration d'IPsec (tâches)
16. Architecture IPsec (référence)
17. Protocole IKE (présentation)
18. Configuration du protocole IKE (tâches)
20. IP Filter dans Oracle Solaris (présentation)
Désactivation du filtrage de paquets
Désactivation du filtrage de paquets
Utilisation des ensembles de règles IP Filter
Gérez les ensembles de règles de filtrage de paquets d'IP Filter
Affichage de l'ensemble actif de règles de filtrage de paquets
Affichage de l'ensemble inactif de règles de filtrage de paquets
Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour
Suppression d'un ensemble de règles de filtrage de paquets
Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Ajout de règles à l'ensemble inactif de règles de filtrage de paquets
Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Gestion des règles NAT d'IP Filter
Affichage des règles NAT actives
Ajout de règles aux règles NAT
Gestion des pools d'adresses d'IP Filter
Affichage des pools d'adresses actifs
Suppression d'un pool d'adresses
Ajout de règles à un pool d'adresses
Affichage des statistiques et des informations relatives à IP Filter
Affichage des tables d'état d'IP Filter
Affichage des statistiques d'état d'IP Filter
Affichage des statistiques NAT d'IP Filter
Affichage des statistiques de pool d'adresses d'IP Filter
Utilisation des fichiers journaux IP Filter
Configuration d'un fichier journal d'IP Filter
Affichage des fichiers journaux IP Filter
Vidage du fichier journal de paquets
Enregistrement dans un fichier des paquets consignés
Création et modification des fichiers de configuration IP Filter
Création d'un fichier de configuration d'IP Filter
Exemples de fichiers de configuration IP Filter
Partie IV Performances du réseau
22. Présentation de l'équilibreur de charge intégré
23. Configuration de l'équilibreur de charge intégré (tâches)
24. Protocole de redondance de routeur virtuel (VRRP) (Présentation)
25. Configuration VRRP - Tâches
26. Implémentation du contrôle de congestion
Partie V Qualité de service IP (IPQoS)
27. Présentation d'IPQoS (généralités)
28. Planification d'un réseau IPQoS (tâches)
29. Création du fichier de configuration IPQoS (tâches)
30. Démarrage et maintenance d'IPQoS (tâches)
31. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
La liste des tâches ci-dessous identifie les procédures associées à la configuration d'IP Filter.
Tableau 21-1 Configuration d'IP Filter (liste des tâches)
|
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration initiale RBAC (liste des tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets d'IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration IP Filter.
Remarque - NAT ne prend pas en charge IPv6.
Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.
Pour plus d'informations sur NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT d'IP Filter.
Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.
Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.
Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses d'IP Filter.
Pour filtrer le trafic entre les zones configurées sur le système, le cas échéant, activez le filtrage de loopback. Reportez-vous à la section Activation du filtrage de loopback. Vous devez également définir les ensembles de règles adéquats applicables aux zones.
# svcadm enable network/ipfilter
Si le filtrage de paquets a été temporairement désactivé, vous pouvez le réactiver.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration initiale RBAC (liste des tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
Redémarrez l'ordinateur.
# reboot
Remarque - Lorsque IP Filter est activé, les fichiers suivants sont chargés après une réinitialisation s'ils sont présents : le fichier /etc/ipf/ipf.conf, le fichier /etc/ipf/ipf6.conf en cas d'utilisation d'IPv6 ou le fichier /etc/ipf/ipnat.conf.
Exécutez les commandes suivantes pour activer IP Filter et le filtrage :
Activez IP Filter.
# ipf -E
Activez le filtrage de paquets.
# ipf -f filename
(Facultatif) Activez NAT.
# ipnat -f filename
Remarque - NAT ne prend pas en charge IPv6.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuration initiale RBAC (liste des tâches) du manuel Administration d’Oracle Solaris : services de sécurité.
# svcadm disable network/ipfilter
set intercept_loopback true;
Cette ligne doit précéder toutes les règles IP Filter définies dans le fichier. Toutefois, vous pouvez insérer des commentaires avant la ligne, comme dans l'exemple ci-dessous :
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...
# svcadm enable network/ipfilter
# ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #
Si le filtrage de loopback est désactivé, la commande génère la sortie suivante :
ipf_loopback min 0 max 0x1 current 0