ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
16. IP セキュリティーアーキテクチャー (リファレンス)
20. Oracle Solaris の IP フィルタ (概要)
アクティブでないパケットフィルタリング規則セットを参照する方法
別のパケットフィルタリング規則セット、または更新されたパケットフィルタリング規則セットをアクティブにする方法
アクティブなパケットフィルタリング規則セットに規則を追加する方法
アクティブでないパケットフィルタリング規則セットに規則を追加する方法
アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットを切り替える方法
次のタスクマップに、IP フィルタの規則セットに関連するタスクを示します。
表 21-3 IP フィルタ規則セットの操作 (タスクマップ)
|
有効な場合、アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットの両方をカーネルに置くことができます。アクティブな規則セットによって、受信パケットと送信パケットに対して実行するフィルタリングが決まります。アクティブでない規則セットでも規則を格納します。アクティブでない規則セットは、アクティブな規則セットにしない限り、使用されることはありません。アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットの両方を管理、参照、変更できます。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipfstat -io
例 21-1 アクティブなパケットフィルタリング規則セットの参照
次の例は、カーネルにロードされたアクティブなパケットフィルタリング規則セットからの出力を示しています。
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipfstat -I -io
例 21-2 アクティブでないパケットフィルタリング規則セットの参照
次の例は、アクティブでないパケットフィルタリング規則セットからの出力を示しています。
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
次のいずれかのタスクを実行する場合には、ここで示す手順を実行します。
IP フィルタが現在使用しているパケットフィルタリング規則セット以外のパケットフィルタリング規則セットをアクティブにする
新規更新されたフィルタリング規則セットを再読み込みする
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
まったく異なる規則セットをアクティブにする場合は、別個のファイルを選択し、そこに新規規則セットを作成します。
規則セットを含む構成ファイルを編集して、現在の規則セットを更新します。
# ipf -Fa -f filename
filename には、新しい規則セットを含む新規ファイル、またはアクティブな規則セットを含む更新されたファイルを指定できます。
アクティブな規則セットがカーネルから削除されます。filename ファイル内の規則がアクティブな規則セットになります。
注 - 現在の構成ファイルの再読み込みをしていても、このコマンドを実行する必要があります。それ以外の場合、以前の規則セットがアクティブであり続けるため、更新した構成ファイル内の変更された規則セットが適用されません。
更新した規則セットをロードするのに ipf -D や svcadm restart などのコマンドを使わないでください。これらのコマンドは、新しい規則セットをロードする前にファイアウォールを無効にするため、ネットワークが危険にさらされます。
例 21-3 別のパケットフィルタリング規則セットのアクティブ化
次の例は、あるパケットフィルタリング規則セットを、別の構成ファイル /etc/ipf/ipf.conf 内の別のパケットフィルタリング規則セットに置換する方法を示しています。
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
例 21-4 更新したパケットフィルタリング規則セットの再読み込み
次の例は、現在アクティブでこれから更新するパケットフィルタリング規則セットを再読み込みする方法を示しています。この例で使用しているファイルは、/etc/ipf/ipf.conf です。
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipf -F [a|i|o]
すべてのフィルタリング規則を規則セットから削除します。
受信パケットのフィルタリング規則を削除します。
送信パケットのフィルタリング規則を削除します。
例 21-5 パケットフィルタリング規則セットの削除
次の例は、すべてのフィルタリング規則をアクティブなフィルタリング規則セットから削除する方法を示しています。
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
ipf -f - コマンドを使用して、コマンド行で、規則セットに規則を追加します。
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
次のコマンドを実行します。
適当なファイルに規則セットを作成します。
作成しておいた規則をアクティブな規則セットに追加します。
# ipf -f filename
filename の規則がアクティブな規則セットの最後に追加されます。IP フィルタは「最後に一致した規則を採用する」アルゴリズムを使用するため、quick キーワードを使用しないかぎり、追加した規則によってフィルタリングの優先順位が決まります。パケットが quick キーワードを含む規則に一致する場合は、その規則に対する処理が実行され、それ以降の規則はチェックされません。
例 21-6 アクティブなパケットフィルタリング規則セットへの規則の追加
次の例は、コマンド行から、アクティブなパケットフィルタリング規則セットに規則を追加する方法を示しています。
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipf -I -f filename
filename の規則がアクティブでない規則セットの最後に追加されます。IP フィルタは「最後に一致した規則を採用する」アルゴリズムを使用するため、quick キーワードを使用しないかぎり、追加した規則によってフィルタリングの優先順位が決まります。パケットが quick キーワードを含む規則に一致する場合は、その規則に対する処理が実行され、それ以降の規則はチェックされません。
例 21-7 アクティブでない規則セットへの規則の追加
次の例は、ファイルからアクティブでない規則セットに規則を追加する方法を示しています。
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipf -s
このコマンドを使用すると、カーネル内のアクティブな規則セットとアクティブでない規則セットを切り替えることができます。なお、アクティブでない規則セットが空の場合は、パケットフィルタリングは行われません。
例 21-8 アクティブなパケットフィルタリング規則セットとアクティブでないパケットフィルタリング規則セットの切り替え
次の例は、ipf - s コマンドの使用によって、どのようにアクティブでない規則セットがアクティブな規則セットになり、アクティブな規則セットがアクティブでない規則セットになるのかを示しています。
ipf -s コマンドを実行する前に、ipfstat -I - io コマンドからの出力でアクティブでない規則セット内の規則が示されます。ipfstat -io コマンドからの出力は、アクティブな規則セットの規則を示します。
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
ipf -s コマンドの実行後、ipfstat -I -io コマンドおよび ipfstat -io コマンドからの出力によって、2 つの規則セットの内容が切り替えられたことが示されます。
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipf -I -Fa
このコマンドが、アクティブでない規則セットをカーネルから消去します。
注 - 続けて ipf -s を実行すると、空のアクティブでない規則セットがアクティブな規則セットになります。アクティブな規則セットが空の場合は、フィルタリングが行われません。
例 21-9 カーネルからのアクティブでないパケットフィルタリング規則セットの削除
次の例は、すべての規則が削除されるように、アクティブでないパケットフィルタリング規則セットを消去する方法を示しています。
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
次の手順で NAT 規則を管理、参照および変更します。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipnat -l
例 21-10 アクティブな NAT 規則の参照
次の例は、アクティブな NAT 規則セットからの出力を示しています。
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ipnat -C
例 21-11 NAT 規則の削除
次の例は、現在の NAT 規則のエントリを削除する方法を示してます。
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
ipnat-f - コマンドを使用して、コマンド行で、NAT 規則セットに規則を追加します。
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
次のコマンドを実行します。
適当なファイルに追加の NAT 規則を作成します。
作成しておいた規則をアクティブな NAT 規則に追加します。
# ipnat -f filename
filename の規則がアクティブな NAT 規則の最後に追加されます。
例 21-12 NAT 規則セットへの規則の追加
次の例は、コマンド行から、NAT 規則セットに規則を追加する方法を示しています。
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
次の手順でアドレスプールを管理、参照および変更します。
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ippool -l
例 21-13 アクティブなアドレスプールの参照
次の例は、アクティブなアドレスプールの内容を参照する方法を示しています。
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
# ippool -F
例 21-14 アドレスプールの削除
次の例は、アドレスプールを削除する方法を示しています。
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # ippool -F 1 object flushed # ippool -l
IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
ippool-f - コマンドを使用して、コマンド行で、規則セットに規則を追加します。
# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -
次のコマンドを実行します。
適当なファイルに追加のアドレスプールを作成します。
作成しておいた規則をアクティブなアドレスプールに追加します。
# ippool -f filename
filename の規則がアクティブなアドレスプールの最後に追加されます。
例 21-15 アドレスプールへの規則の追加
次の例は、コマンド行から、アドレスプール規則セットにアドレスプールを追加する方法を示しています。
# ippool -l table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; }; # echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f - # ippool -l table role = ipf type = tree number = 100 { 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; }; table role = ipf type = tree number = 13 { 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };