JavaScript is required to for searching.
ナビゲーションリンクをスキップ
印刷ビューの終了
Oracle Solaris の管理: IP サービス     Oracle Solaris 11 Information Library (日本語)
Oracle Technology Network
ライブラリ
PDF
印刷ビュー
フィードバック
search filter icon
search icon

ドキュメントの情報

はじめに

パート I TCP/IP の管理

1.  ネットワーク配備の計画

2.  IPv6 アドレス使用時の考慮点

3.  IPv4 ネットワークの構成

4.  ネットワークでの IPv6 の有効化

5.  TCP/IP ネットワークの管理

6.  IP トンネルの構成

7.  ネットワークの問題の障害追跡

8.  IPv4 リファレンス

9.  IPv6 リファレンス

パート II DHCP

10.  DHCP について (概要)

11.  ISC DHCP サービスの管理

12.  DHCP クライアントの構成と管理

13.  DHCP コマンドと DHCP ファイル (リファレンス)

パート III IP セキュリティー

14.  IP セキュリティーアーキテクチャー (概要)

15.  IPsec の構成 (タスク)

16.  IP セキュリティーアーキテクチャー (リファレンス)

17.  インターネット鍵交換 (概要)

18.  IKE の構成 (手順)

19.  インターネット鍵交換 (リファレンス)

20.  Oracle Solaris の IP フィルタ (概要)

21.  IP フィルタ (手順)

IP フィルタの構成

IP フィルタを有効にする方法

IP フィルタを再度有効にする方法

ループバックフィルタリングを有効にする方法

IP フィルタの非アクティブ化と無効化

パケットフィルタリングを非アクティブにする方法

NAT を非アクティブにする方法

パケットフィルタリングを無効にする方法

IP フィルタ規則セットの操作

IP フィルタのパケットフィルタリング規則セットの管理

アクティブなパケットフィルタリング規則セットを参照する方法

アクティブでないパケットフィルタリング規則セットを参照する方法

別のパケットフィルタリング規則セット、または更新されたパケットフィルタリング規則セットをアクティブにする方法

パケットフィルタリング規則セットを削除する方法

アクティブなパケットフィルタリング規則セットに規則を追加する方法

アクティブでないパケットフィルタリング規則セットに規則を追加する方法

アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットを切り替える方法

カーネルからアクティブでないパケットフィルタリング規則セットを削除する方法

IP フィルタ用 NAT 規則の管理

アクティブな NAT 規則を参照する方法

NAT 規則を削除する方法

NAT 規則に規則を追加する方法

IP フィルタのアドレスプールの管理

アクティブなアドレスプールを参照する方法

アドレスプールを削除する方法

規則をアドレスプールに追加する方法

IP フィルタの統計および情報の表示

IP フィルタの状態テーブルを参照する方法

IP フィルタの状態統計を参照する方法

IP フィルタの NAT 統計を参照する方法

IP フィルタのアドレスプール統計情報を表示する方法

IP フィルタ用ログファイルの操作

IP フィルタのログファイルを設定する方法

IP フィルタのログファイルを参照する方法

パケットログファイルを消去する方法

ロギングされたパケットをファイルに保存する方法

IP フィルタ構成ファイルの作成と編集

IP フィルタの構成ファイルを作成する方法

IP フィルタの構成ファイルの例

パート IV ネットワークパフォーマンス

22.  統合ロードバランサの概要

23.  統合ロードバランサの構成 (タスク)

24.  仮想ルーター冗長プロトコル (概要)

25.  VRRP の構成 (タスク)

26.  輻輳制御の実装

パート V IP サービス品質 (IPQoS)

27.  IPQoS の紹介 (概要)

28.  IPQoS 対応ネットワークの計画 (手順)

29.  IPQoS 構成ファイルの作成 (手順)

30.  IPQoS の起動と保守(手順)

31.  フローアカウンティングの使用と統計情報の収集 (手順)

32.  IPQoS の詳細 (リファレンス)

用語集

索引

IP フィルタの構成

次のタスクマップに、IP フィルタの構成タスクに関連する手順を示します。

表 21-1 IP フィルタの構成 (タスクマップ)

タスク
説明
手順
最初に IP フィルタを有効にします。
IP フィルタは、デフォルトでは無効です。IP フィルタを手動で有効にするか /etc/ipf/ ディレクトリにある構成ファイルを使用して、システムをリブートする必要があります。IP フィルタを有効にするための pfil モジュールはパケットフィルタリングフックに置き換えられました。
「IP フィルタを有効にする方法」
IP フィルタを再度有効にします。
IP フィルタが非アクティブ化された、または無効になった場合は、システムをリブートするか、ipf コマンドを使用して、IP フィルタを再度有効にできます。
「IP フィルタを再度有効にする方法」
ループバックフィルタリングを有効にします。
オプションとして、ループバックフィルタリングを有効にすると、ゾーン間のトラフィックのフィルタリングなどを行うことができます。
「ループバックフィルタリングを有効にする方法」

IP フィルタを有効にする方法

  1. IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。

    IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。

  2. パケットフィルタリング構成ファイルを作成します。

    パケットフィルタリング規則セットには、IP フィルタが使用するパケットフィルタリング規則が含まれています。ブート時にパケットフィルタリング規則をロードする場合は、/etc/ipf/ipf.conf ファイルを編集して IPv4 パケットフィルタリングを実装します。IPv6 パケットフィルタリング規則には /etc/ipf/ipf6.conf ファイルを使用します。ブート時にパケットフィルタリング規則をロードしない場合は、適当な場所に ipf.conf ファイルを保存し、パケットフィルタリングを手動でアクティブ化します。パケットのフィルタリングについては、「IP フィルタのパケットのフィルタリング機能の使用」を参照してください。構成ファイルの操作については、「IP フィルタ構成ファイルの作成と編集」を参照してください。

  3. (省略可能) ネットワークアドレス変換 (NAT) 構成ファイルを作成します。

    注 - ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。

    ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。ネットワークアドレス変換を使用する場合は、ipnat.conf ファイルを作成します。 ブート時に NAT 規則をロードしない場合は、適当な場所に ipnat.conf ファイルを保存し、NAT 規則を手動でアクティブ化します。

    NAT については、「IP フィルタの NAT 機能の使用」を参照してください。

  4. (省略可能) アドレスプール構成ファイルを作成します。

    ひとかたまりのアドレスを単一のアドレスプールとして参照する場合は、ipool.conf ファイルを作成します。ブート時にアドレスプール構成ファイルをロードする場合は、アドレスプールを保存する /etc/ipf/ippool.conf というファイルを作成します。ブート時にアドレスプール構成ファイルをロードしない場合は、適当な場所に ippool.conf ファイルを保存し、規則を手動でアクティブ化します。

    アドレスプールは、IPv4 アドレスだけまたは IPv6 アドレスだけを含むことができます。IPv4 アドレスと IPv6 アドレスの両方を含むこともできます。

    アドレスプールの詳細については、「IP フィルタのアドレスプール機能の使用」を参照してください。

  5. (省略可能) ループバックトラフィックのフィルタリングを有効にします。

    システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。「ループバックフィルタリングを有効にする方法」を参照してください。ゾーンに適用する適切な規則セットも必ず定義してください。

  6. IP フィルタをアクティブにします。
    # svcadm enable network/ipfilter

IP フィルタを再度有効にする方法

パケットフィルタリングが一時的に有効でない場合は、再度有効にできます。

  1. IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。

    IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。

  2. 次のいずれかの方法で、IP フィルタを有効にし、フィルタリングをアクティブ化します。

    • マシンをリブートします。

      # reboot

      注 - IP フィルタが有効になっているときに次のファイルが存在する場合は、リブート後にそれらのファイルがロードされます。 /etc/ipf/ipf.conf ファイル (IPv6 を使用している場合は /etc/ipf/ipf6.conf ファイル) または /etc/ipf/ipnat.conf ファイル。

    • 次の一連のコマンドを実行して、IP フィルタを有効にし、フィルタリングをアクティブにします。

      1. IP フィルタを有効にします。

        # ipf -E

      2. パケットフィルタリングのアクティブ化

        # ipf -f filename

      3. (省略可能) NAT のアクティブ化

        # ipnat -f filename

        注 - ネットワークアドレス変換 (NAT) では、IPv6 はサポートされていません。

ループバックフィルタリングを有効にする方法

  1. IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになります。

    IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。

  2. IP フィルタが実行中の場合は、停止させます。
    # svcadm disable network/ipfilter
  3. /etc/ipf.conf ファイルまたは /etc/ipf6.conf ファイルを編集して、ファイルの先頭に次の行を追加します。
    set intercept_loopback true;

    この行は、ファイル内で定義されるすべての IP フィルタ規則よりも前に置く必要があります。ただし、この行の前にコメントを挿入することはできます。次に例を示します。

    # 
# Enable loopback filtering to filter between zones 
# 
set intercept_loopback true; 
# 
# Define policy 
# 
block in all 
block out all 
<other rules>
...
  4. IP フィルタを起動します。
    # svcadm enable network/ipfilter
  5. ループバックフィルタリングのステータスを確認するには、次のコマンドを使用します。
    # ipf -T ipf_loopback
ipf_loopback    min 0   max 0x1 current 1
#

    ループバックフィルタリングが無効になっている場合、このコマンドは次の出力を生成します。

    ipf_loopback    min 0   max 0x1 current 0
Copyright © 1999, 2012, Oracle and/or its affiliates. All rights reserved. 著作権について
戻る 次へ