| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어) |
| 탐색 링크 건너뛰기 | |
| 인쇄 보기 종료 | |
|
|
Oracle Solaris 관리: IP 서비스 Oracle Solaris 11 Information Library (한국어) |
다른 또는 업데이트된 패킷 필터링 규칙 세트 활성화 방법
활성 패킷 필터링 규칙 세트와 비활성 패킷 필터링 규칙 세트 간 전환 방법
24. Virtual Router Redundancy Protocol(개요)
다음 작업 맵에서는 IP 필터 규칙 세트와 관련된 절차를 식별합니다.
표 21-3 IP 필터 규칙 세트 작업(작업 맵)
|
사용으로 설정된 경우 활성 및 비활성 패킷 필터링 규칙 세트가 모두 커널에 상주할 수 있습니다. 활성 규칙 세트에 따라 수신 패킷 및 송신 패킷에 대해 수행하려는 필터링이 결정됩니다. 비활성 규칙 세트도 규칙을 저장합니다. 비활성 규칙 세트를 활성 규칙 세트로 설정하지 않은 경우 해당 규칙이 사용되지 않습니다. 활성 및 비활성 패킷 필터링 규칙 세트를 모두 관리, 확인 및 수정할 수 있습니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipfstat -io
예 21-1 활성 패킷 필터링 규칙 세트 보기
다음 예에서는 커널에서 로드된 활성 패킷 필터링 규칙 세트의 출력을 보여 줍니다.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipfstat -I -io
예 21-2 비활성 패킷 필터링 규칙 세트 보기
다음 예에서는 비활성 패킷 필터링 규칙 세트의 출력을 보여 줍니다.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
다음 작업 중 하나를 수행하려면 이 절차를 사용하십시오.
현재 IP 필터에 사용되고 있는 규칙 세트가 아닌 다른 패킷 필터링 규칙 세트를 활성화합니다.
새로 업데이트된 동일한 필터링 규칙 세트를 재로드합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
완전히 다른 규칙 세트를 활성화하려면 선택한 별도의 파일에 새 규칙 세트를 만듭니다.
해당 규칙 세트를 포함하는 구성 파일을 편집하여 현재 규칙 세트를 업데이트합니다.
# ipf -Fa -f filename
filename은 새 규칙 세트를 포함하는 새 파일 또는 활성 규칙 세트를 포함하는 업데이트된 파일일 수 있습니다.
커널에서 활성 규칙 세트가 제거되고, filename 파일의 규칙이 활성 규칙 세트가 됩니다.
주 - 현재 구성 파일을 재로드하는 중인 경우에도 명령을 실행해야 합니다. 그렇지 않으면 기존 규칙 세트가 계속 작동하고 업데이트된 구성 파일의 수정된 규칙 세트가 적용되지 않습니다.
업데이트된 규칙 세트를 로드하려면 ipf -D, svcadm restart 등의 명령을 사용하지 마십시오. 새 규칙 세트를 로드하기 전에 먼저 방화벽을 사용 안함으로 설정하면 해당 명령으로 인해 네트워크가 노출됩니다.
예 21-3 다른 패킷 필터링 규칙 세트 활성화
다음 예에서는 특정 패킷 필터링 규칙 세트를 별도의 구성 파일 /etc/ipf/ipf.conf에 있는 다른 패킷 필터링 규칙 세트로 바꾸는 방법을 보여 줍니다.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
예 21-4 업데이트된 패킷 필터링 규칙 세트 재로드
다음 예에서는 현재 활성 상태이며 업데이트된 패킷 필터링 규칙 세트를 재로드하는 방법을 보여 줍니다. 이 예에서 사용하는 파일은 /etc/ipf/ipf.conf입니다.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipf -F [a|i|o]
규칙 세트에서 모든 필터링 규칙을 제거합니다.
수신 패킷에 대한 필터링 규칙을 제거합니다.
송신 패킷에 대한 필터링 규칙을 제거합니다.
예 21-5 패킷 필터링 규칙 세트 제거
다음 예에서는 활성 필터링 규칙 세트에서 모든 필터링 규칙을 제거하는 방법을 보여 줍니다.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
ipf -f - 명령을 사용하여 명령줄에서 규칙 세트에 규칙을 추가합니다.
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
다음 명령을 실행합니다.
선택한 파일에 규칙 세트를 만듭니다.
만든 규칙을 활성 규칙 세트에 추가합니다.
# ipf -f filename
활성 규칙 세트의 끝에 filename의 규칙이 추가됩니다. IP 필터는 “마지막 일치 규칙” 알고리즘을 사용하므로 quick 키워드를 사용하지 않는 경우 추가되는 규칙에 따라 필터링 우선 순위가 결정됩니다. 패킷이 quick 키워드를 포함하는 규칙과 일치하는 경우 해당 규칙에 대한 작업이 수행되고 후속 규칙이 확인되지 않습니다.
예 21-6 활성 패킷 필터링 규칙 세트에 규칙 추가
다음 예에서는 명령줄에서 활성 패킷 필터링 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipf -I -f filename
비활성 규칙 세트의 끝에 filename의 규칙이 추가됩니다. IP 필터는 “마지막 일치 규칙” 알고리즘을 사용하므로 quick 키워드를 사용하지 않는 경우 추가되는 규칙에 따라 필터링 우선 순위가 결정됩니다. 패킷이 quick 키워드를 포함하는 규칙과 일치하는 경우 해당 규칙에 대한 작업이 수행되고 후속 규칙이 확인되지 않습니다.
예 21-7 비활성 규칙 세트에 규칙 추가
다음 예에서는 파일에서 비활성 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipf -s
이 명령을 사용하면 커널에서 활성 규칙 세트와 비활성 규칙 세트 간에 전환할 수 있습니다. 비활성 규칙 세트가 비어 있을 경우 패킷 필터링이 없는 것입니다.
예 21-8 활성 패킷 필터링 규칙 세트와 비활성 패킷 필터링 규칙 세트 간 전환
다음 예에서는 ipf -s 명령을 사용하여 비활성 규칙 세트를 활성 규칙 세트로 전환하고 활성 규칙 세트를 비활성 규칙 세트로 전환하는 방법을 보여 줍니다.
ipf -s 명령을 실행하기 전에 ipfstat -I -io 명령의 출력은 비활성 규칙 세트의 규칙을 보여 줍니다. ipfstat -io 명령의 출력은 활성 규칙 세트의 규칙을 보여 줍니다.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
ipf -s 명령을 실행한 후 ipfstat -I -io 및 ipfstat -io 명령의 출력은 두 개 규칙 세트의 내용이 전환되었음을 보여 줍니다.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipf -I -Fa
이 명령은 커널에서 비활성 규칙 세트를 비웁니다.
주 - 나중에 ipf -s를 실행할 경우 비어 있는 비활성 규칙 세트가 활성 규칙 세트로 전환됩니다. 활성 규칙 세트가 비어 있을 경우 필터링이 수행되지 않습니다.
예 21-9 커널에서 비활성 패킷 필터링 규칙 세트 제거
다음 예에서는 모든 규칙이 제거되도록 비활성 패킷 필터링 규칙 세트를 비우는 방법을 보여 줍니다.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
다음 절차에 따라 NAT 규칙을 관리, 확인 및 수정할 수 있습니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipnat -l
예 21-10 활성 NAT 규칙 보기
다음 예에서는 활성 NAT 규칙 세트의 출력을 보여 줍니다.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ipnat -C
예 21-11 NAT 규칙 제거
다음 예에서는 현재 NAT 규칙의 항목을 제거하는 방법을 보여 줍니다.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
ipnat -f - 명령을 사용하여 명령줄에서 NAT 규칙 세트에 규칙을 추가합니다.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
다음 명령을 실행합니다.
선택한 파일에 추가 NAT 규칙을 만듭니다.
만든 규칙을 활성 NAT 규칙에 추가합니다.
# ipnat -f filename
NAT 규칙의 끝에 filename의 규칙이 추가됩니다.
예 21-12 NAT 규칙 세트에 규칙 추가
다음 예에서는 명령줄에서 NAT 규칙 세트에 규칙을 추가하는 방법을 보여 줍니다.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
다음 절차에 따라 주소 풀을 관리, 확인 및 수정할 수 있습니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ippool -l
예 21-13 활성 주소 풀 보기
다음 예에서는 활성 주소 풀의 컨텐츠를 확인하는 방법을 보여 줍니다.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
# ippool -F
예 21-14 주소 풀 제거
다음 예에서는 주소 풀 제거 방법을 보여 줍니다.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 Oracle Solaris 관리: 보안 서비스의 RBAC 초기 구성(작업 맵)을 참조하십시오.
ippool -f - 명령을 사용하여 명령줄에서 규칙 세트에 규칙을 추가합니다.
# echo "table role = ipf type = tree number = 13 {10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -다음 명령을 실행합니다.
선택한 파일에 추가 주소 풀을 만듭니다.
만든 규칙을 활성 주소 풀에 추가합니다.
# ippool -f filename
활성 주소 풀의 끝에 filename의 규칙이 추가됩니다.
예 21-15 주소 풀에 규칙 추가
다음 예에서는 명령줄에서 주소 풀 규칙 세트에 주소 풀을 추가하는 방법을 보여 줍니다.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100 {10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
{ 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
|