ナビゲーションリンクをスキップ | |
印刷ビューの終了 | |
Oracle Solaris の管理: IP サービス Oracle Solaris 11 Information Library (日本語) |
13. DHCP コマンドと DHCP ファイル (リファレンス)
16. IP セキュリティーアーキテクチャー (リファレンス)
20. Oracle Solaris の IP フィルタ (概要)
IP フィルタは SMF サービス svc: /network/pfil と svc: /network/ipfilter によって管理されます。SMF の完全な概要については、『Oracle Solaris の管理: 一般的なタスク』の第 6 章「サービスの管理 (概要)」を参照してください。SMF に関連するステップごとの手順については、『Oracle Solaris の管理: 一般的なタスク』の第 7 章「サービスの管理 (手順)」を参照してください。
IP フィルタでは、構成ファイルを直接編集する必要があります。
IP フィルタは Oracle Solaris の一部としてインストールされます。デフォルトでは、インストール直後は、IP フィルタはアクティブではありません。フィルタリングを構成するには、構成ファイルを編集し、手動で IP フィルタをアクティブにする必要があります。フィルタリングは、システムをリブートするか、ipadm コマンドでインタフェースを plumb することによってアクティブ化できます。詳細は、ipadm(1M) のマニュアルページを参照してください。 IP フィルタを有効にするためのタスクについては、「IP フィルタの構成」を参照してください。
IP フィルタを管理するには、IP Filter Management の権利プロファイルを持つ役割またはスーパーユーザーになれなければなりません。IP Filter Management の権利プロファイルは、ユーザーが作成した役割に割り当てることができます。役割の作成と役割のユーザーへの割り当てについては、『Oracle Solaris の管理: セキュリティーサービス』の「RBAC の初期構成 (タスクマップ)」を参照してください。
IP ネットワークマルチパス (IPMP) は、ステートレスフィルタリングだけをサポートしています。
IPMP グループに送受信されるトラフィックに対して IP フィルタでステートレスフィルタリングを実行する場合は、ipmp_hook_emulation パラメータを設定する必要があります。デフォルトでは、このパラメータはゼロ (0) に設定されており、これは IP フィルタが IPMP グループに属する物理インタフェースに対してトラフィックのステートフルパケットインスペクションを実行できないことを意味します。IPMP パケットフィルタリングを有効にするには、次のコマンドを発行します。
ndd -set /dev/ip ipmp_hook_emulation 1
Oracle Solaris クラスタソフトウェアは、スケーラブルサービス用の IP フィルタによるフィルタリングはサポートしませんが、フェイルオーバーサービス用の IP フィルタはサポートします。IP フィルタをクラスタ内で構成するときのガイドラインおよび制限については、『Oracle Solaris Cluster ソフトウェアのインストール』の「Oracle Solaris OS の機能制限」を参照してください。
ゾーン間のフィルタリングは、IP フィルタ規則が実装されているゾーンが、システム上のほかのゾーンの仮想ルーターとして機能する場合にかぎりサポートされます。