Ignorer les liens de navigation | |
Quitter l'aperu | |
Sécurisation du réseau dans Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Français) |
1. Utilisation de la protection des liens dans des environnements virtualisés
3. Serveurs Web et protocole SSL (Secure Sockets Layer)
4. IP Filter dans Oracle Solaris (présentation)
Affichage des valeurs par défaut du service IP Filter
Création de fichiers de configuration IP Filter
Activation et actualisation d'IP Filter
Désactivation du réassemblage des paquets
Utilisation des ensembles de règles IP Filter
Gérez les ensembles de règles de filtrage de paquets d'IP Filter
Affichage de l'ensemble actif de règles de filtrage de paquets
Affichage de l'ensemble inactif de règles de filtrage de paquets
Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour
Suppression d'un ensemble de règles de filtrage de paquets
Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Ajout de règles à l'ensemble inactif de règles de filtrage de paquets
Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Gestion des règles NAT d'IP Filter
Affichage des règles NAT actives dans IP Filter
Désactivation des règles NAT dans IP Filter
Ajout de règles aux règles de filtrage de paquets NAT
Gestion des pools d'adresses d'IP Filter
Affichage des pools d'adresses actifs
Suppression d'un pool d'adresses
Ajout de règles à un pool d'adresses
Affichage des statistiques et des informations relatives à IP Filter
Affichage des tables d'état d'IP Filter
Affichage des statistiques d'état d'IP Filter
Affichage des paramètres réglables IP Filter
Affichage des statistiques NAT d'IP Filter
Affichage des statistiques de pool d'adresses d'IP Filter
Utilisation des fichiers journaux IP Filter
Configuration d'un fichier journal d'IP Filter
Affichage des fichiers journaux IP Filter
Vidage du tampon du journal de paquets
Enregistrement dans un fichier des paquets consignés
Exemples de fichiers de configuration IP Filter
6. Architecture IPsec (présentation)
7. Configuration d'IPsec (tâches)
8. Architecture IPsec (référence)
9. Protocole IKE (présentation)
La liste des tâches ci-dessous répertorie les procédures permettant de créer des règles IP Filter ainsi que d'activer et de désactiver le service.
Tableau 5-1 Configuration d'IP Filter (liste des tâches)
|
Avant de commencer
Pour exécuter la commande ipfstat, vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
% svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
Des emplacements sont suggérés pour les trois premières propriétés de fichiers. Ces fichiers n'existent pas tant que vous ne les avez pas créés. Vous pouvez modifier l'emplacement d'un fichier de configuration en modifiant la valeur de la propriété de ce fichier. Pour plus d'informations sur cette procédure, reportez-vous à la section Création de fichiers de configuration IP Filter.
Vous modifiez la quatrième propriété de fichier lorsque vous personnalisez vos propres règles de filtrage de paquets. Reportez-vous à l'Étape 1 et à l'Étape 2 de la section Création de fichiers de configuration IP Filter.
Sur un système en réseau manuel, IP Filter n'est pas activé par défaut.
% svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
Sur un système en réseau automatique sur un réseau IPv4, exécutez la commande suivante pour afficher la stratégie IP Filter :
$ ipfstat -io
Pour afficher le fichier qui a créé la stratégie, reportez-vous à /etc/nwam/loc/NoNet/ipf.conf. Ce fichier est en lecture seule. Pour modifier la stratégie, reportez-vous à la section Création de fichiers de configuration IP Filter.
Remarque - Pour afficher la stratégie IP Filter sur un réseau IPv6, ajoutez l'option -6, comme dans : ipfstat -6io. Pour plus d'informations, reportez-vous à la page de manuel ipfstat(1M).
Pour modifier la stratégie IP Filter pour une configuration réseau configurée de manière automatique ou pour utiliser IP Filter dans un réseau configuré manuellement, créez des fichiers de configuration, informez le service de l'existence de ces fichiers, puis activez le service.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Ce fichier contient l'ensemble des règles de filtrage de paquets.
$ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
Par exemple, placez votre ensemble de règles de filtrage de paquets à l'emplacement /etc/ipf/myorg.ipf.conf.
$ svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets d'IP Filter. Pour consulter des exemples de fichiers de configuration, reportez-vous à la section Exemples de fichiers de configuration IP Filter et au fichier /etc/nwam/loc/NoNet/ipf.conf.
Remarque - Si le fichier de stratégie spécifié est vide, aucun filtrage n'est effectué. Un fichier de filtrage de paquets vide correspond à un ensemble de règles défini comme suit :
pass in all pass out all
Pour filtrer des paquets par le biais d'une NAT, créez un fichier destiné à contenir les règles NAT sous un nom pertinent, tel que /etc/ipf/ipnat.conf par exemple. Pour modifier ce nom, modifiez la valeur de la propriété de service config/ipnat_config_file, comme illustré ci-dessous :
$ svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
Pour plus d'informations sur NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT d'IP Filter.
Pour pouvoir faire référence à un groupe d'adresses par le biais d'un pool d'adresses unique, créez un fichier contenant le pool sous un nom approprié, tel que /etc/ipf/ippool.conf par exemple. Pour modifier ce nom, modifiez la valeur de la propriété de service config/ippool_config_file , comme illustré ci-dessous :
$ svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
Un pool d'adresses peut contenir un ensemble quelconque d'adresses IPv4 et IPv6. Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses d'IP Filter.
Pour filtrer le trafic entre les zones configurées sur le système, le cas échéant, activez le filtrage de loopback. Reportez-vous à la section Activation du filtrage de loopback. Vous devez également définir des ensembles de règles applicables aux zones.
Par défaut, les fragments sont réassemblés dans IP Filter. Pour modifier cette valeur par défaut, reportez-vous à la section Désactivation du réassemblage des paquets.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
Vous avez effectué les étapes de la section Création de fichiers de configuration IP Filter.
Pour activer IP Filter pour la première fois, saisissez la commande suivante :
$ svcadm enable network/ipfilter
$ svcadm refresh network/ipfilter
Remarque - La commande refresh désactive brièvement le pare-feu. Pour ne pas désactiver le pare-feu, ajoutez des règles ou un nouveau fichier de configuration. Pour consulter des procédures illustrées à l'aide d'exemples, reportez-vous à la section Utilisation des ensembles de règles IP Filter.
Par défaut, les fragments sont réassemblés dans IP Filter. Pour désactiver le réassemblage, insérez une règle au début du fichier de stratégie.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter) ainsi que de l'autorisation solaris.admin.edit/path-to-IPFilter-policy-file. Le rôle root dispose de tous ces droits. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ svcadm disable network/ipfilter
set defrag off;
Utilisez la commande pfedit, comme illustré ci-dessous :
$ pfedit /etc/ipf/myorg.ipf.conf
Cette règle doit précéder toutes les règles block et pass définies dans le fichier. Toutefois, vous pouvez insérer des commentaires avant la ligne, comme dans l'exemple ci-dessous :
# Disable fragment reassembly # set defrag off; # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T defrag defrag min 0 max 0x1 current 0
Si la valeur associée à current est 0, les fragments ne sont pas réassemblés. Si la valeur associée à current est 1, les fragments sont réassemblés.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter) ainsi que de l'autorisation solaris.admin.edit/path-to-IPFilter-policy-file. Le rôle root dispose de tous ces droits. Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ svcadm disable network/ipfilter
set intercept_loopback true;
Utilisez la commande pfedit, comme illustré ci-dessous :
$ pfedit /etc/ipf/myorg.ipf.conf
Cette ligne doit précéder toutes les règles block et pass définies dans le fichier. Toutefois, vous pouvez insérer des commentaires avant la ligne, comme dans l'exemple ci-dessous :
... #set defrag off; # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 $
Si la valeur associée à current est 0, le filtrage de loopback est désactivé. Si la valeur associée à current est 1, le filtrage de loopback est activé.
Cette procédure supprime toutes les règles à partir du noyau et désactive le service. Si vous avez recours à cette procédure, vous devez activer IP Filter avec les fichiers de configuration appropriés pour redémarrer le filtrage de paquets et la translation NAT. Pour plus d'informations, reportez-vous à la section Activation et actualisation d'IP Filter.
Avant de commencer
Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section Utilisation de vos droits d’administration du manuel Administration d’Oracle Solaris 11.1 : Services de sécurité.
$ svcadm disable network/ipfilter
Pour tester ou déboguer le service, vous pouvez supprimer des ensembles de règles pendant que le service est en cours d'exécution. Pour plus d'informations, reportez-vous à la section Utilisation des ensembles de règles IP Filter.