Omitir Vínculos de navegación | |
Salir de la Vista de impresión | |
Protección de la red en Oracle Solaris 11.1 Oracle Solaris 11.1 Information Library (Español) |
1. Uso de protección de enlaces en entornos virtualizados
3. Servidores web y el protocolo de capa de sockets seguros
4. Filtro IP en Oracle Solaris (descripción general)
Cómo mostrar los valores predeterminados del servicio de filtro IP
Cómo crear archivos de configuración de filtro IP
Cómo activar y refrescar el filtro IP
Cómo desactivar el reensamblaje de paquetes
Cómo trabajar con conjuntos de reglas del filtro IP
Gestión de conjunto de reglas de filtro de paquetes para filtro IP
Cómo visualizar el conjunto de reglas de filtros de paquetes activo
Cómo visualizar el conjunto de reglas de filtros de paquetes inactivo
Cómo activar un conjunto de reglas de filtros de paquetes diferente o actualizado
Cómo eliminar un conjunto de reglas de filtros de paquetes
Cómo anexar reglas al conjunto de reglas de filtros de paquetes activo
Cómo anexar reglas al conjunto de reglas de filtros de paquetes inactivo
Cómo alternar entre los conjuntos de reglas de filtros de paquetes activo e inactivo
Cómo eliminar un conjunto de reglas de filtros de paquetes inactivo del núcleo
Gestión de reglas NAT para filtro IP
Cómo ver las reglas NAT activas en el filtro IP
Cómo desactivar las reglas NAT en el filtro IP
Como anexar reglas a las reglas NAT de filtrado de paquetes
Gestión de agrupaciones de direcciones para el filtro IP
Cómo ver las agrupaciones de direcciones activas
Cómo eliminar una agrupación de direcciones
Cómo anexar reglas a una agrupación de direcciones
Cómo visualizar las estadísticas e información sobre el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver las tablas de estado para el filtro IP
Cómo ver los parámetros ajustables de filtro IP
Cómo visualizar las estadísticas de NAT para el filtro IP
Cómo visualizar las estadísticas de la agrupación de direcciones para el filtro IP
Cómo trabajar con archivos de registro para el filtro IP
Cómo configurar un archivo de registro para el filtro IP
Cómo visualizar los archivos de registro del filtro IP
Cómo vaciar el búfer de registro de paquetes
Cómo guardar paquetes registrados en un archivo
Ejemplos de archivos de configuración del filtro IP
6. Arquitectura de seguridad IP (descripción general)
7. Configuración de IPsec (tareas)
8. Arquitectura de seguridad IP (referencia)
9. Intercambio de claves de Internet (descripción general)
10. Configuración de IKE (tareas)
El siguiente mapa de tareas identifica los procedimientos para crear reglas de filtro de IP, y para activar y desactivar el servicio.
Tabla 5-1 Configuración del filtro IP (mapa de tareas)
|
Antes de empezar
Para ejecutar el comando ipfstat, debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
% svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
Las tres primeras propiedades del archivo han sugerido ubicaciones de archivos. Estos archivos no existen hasta que usted los cree. Puede cambiar la ubicación de un archivo de configuración modificando el valor de propiedad para ese archivo. Para conocer el procedimiento, consulte Cómo crear archivos de configuración de filtro IP.
Modifique la cuarta propiedad del archivo al personalizar sus propias reglas de filtrado de paquetes. Consulte el Paso 1 y el Paso 2 en Cómo crear archivos de configuración de filtro IP.
En un sistema conectado a la red de forma manual, el filtro IP no está activado de manera predeterminada.
% svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
En un sistema conectado a una red IPv4 de forma automática, ejecute el siguiente comando para ver la política de filtro IP:
$ ipfstat -io
Para ver el archivo que creó la política, lea /etc/nwam/loc/NoNet/ipf.conf. Este archivo es de sólo visualización. Para modificar la política, consulte Cómo crear archivos de configuración de filtro IP.
Nota - Para ver la política de filtro IP en una red IPv6, agregue la opción -6, como en el siguiente ejemplo: ipfstat -6io. Para obtener mas información, consulte la página del comando man ipfstat(1M).
Para modificar la política de filtro IP para una configuración automática de red o para utilizar el filtro IP en una red configurada manualmente, debe crear archivos de configuración, comunicar al servicio sobre estos archivos y, a continuación, activar el servicio.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Este archivo contiene el conjunto de reglas de filtrado de paquetes.
$ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
Por ejemplo, especifique en /etc/ipf/myorg.ipf.conf la ubicación del conjunto de reglas de filtrado de paquetes.
$ svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP. Para ver ejemplos de los archivos de configuración, consulte Ejemplos de archivos de configuración del filtro IP y el archivo /etc/nwam/loc/NoNet/ipf.conf
Nota - Si el archivo de política especificado está vacío, no se lleva a cabo el filtrado. Un archivo de filtrado de paquetes vacío equivale a tener un conjunto de reglas como el siguiente:
pass in all pass out all
Para filtrar los paquetes a través de un sistema NAT, cree un archivo para las reglas NAT con un nombre apropiado, como /etc/ipf/ipnat.conf. Para cambiar este nombre, cambie el valor de la propiedad de servicio config/ipnat_config_file , como en el siguiente ejemplo:
$ svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP.
Para hacer referencia a un grupo de direcciones como una agrupación de direcciones única, cree un archivo para la agrupación con un nombre apropiado, como /etc/ipf/ippool.conf. Para cambiar este nombre, cambie el valor de la propiedad de servicio config/ippool_config_file , como en el siguiente ejemplo:
$ svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
Una agrupación de direcciones puede contener cualquier combinación de direcciones IPv4 e IPv6. Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP.
Si desea filtrar el tráfico entre zonas que están configuradas en el sistema, debe activar los filtros en bucle. Consulte Cómo activar los filtros en bucle. También debe definir conjuntos de reglas que se aplican a las zonas.
De manera predeterminada, los fragmentos se vuelven a ensamblar en el filtro IP. Para modificar el valor predeterminado, consulte Cómo desactivar el reensamblaje de paquetes.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
Debe haber completado Cómo crear archivos de configuración de filtro IP.
Para activar inicialmente el filtro IP, escriba el siguiente comando:
$ svcadm enable network/ipfilter
$ svcadm refresh network/ipfilter
Nota - El comando refresh desactiva brevemente el cortafuegos. Para conservar el cortafuegos, anexe reglas o agregue un nuevo archivo de configuración. Para conocer los procedimientos con ejemplos, consulte Cómo trabajar con conjuntos de reglas del filtro IP.
De manera predeterminada, los fragmentos se vuelven a ensamblar en el filtro IP. Para desactivar este reensamblaje, inserte una regla al principio del archivo de política.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP y la autorización solaris.admin.edit/path-to-IPFilter-policy-file . El rol root tiene todos estos derechos. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ svcadm disable network/ipfilter
set defrag off;
Utilice el comando pfedit, como en el siguiente ejemplo:
$ pfedit /etc/ipf/myorg.ipf.conf
Esta regla debe preceder a todas las reglas block y pass que están definidas en el archivo. Sin embargo, puede insertar comentarios delante de la línea, como en el ejemplo siguiente:
# Disable fragment reassembly # set defrag off; # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T defrag defrag min 0 max 0x1 current 0
Si current es 0, los fragmentos no se vuelven a ensamblar. Si current es 1, los fragmentos se vuelven a ensamblar.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP y la autorización solaris.admin.edit/path-to-IPFilter-policy-file . El rol root tiene todos estos derechos. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ svcadm disable network/ipfilter
set intercept_loopback true;
Utilice el comando pfedit, como en el siguiente ejemplo:
$ pfedit /etc/ipf/myorg.ipf.conf
Esta línea debe preceder a todas las reglas block y pass que están definidas en el archivo. Sin embargo, puede insertar comentarios delante de la línea, como en el ejemplo siguiente:
... #set defrag off; # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 $
Si current es 0, el filtrado de bucle de retorno está desactivado. Si current es 1, el filtrado de bucle de retorno está activado.
Este procedimiento elimina todas las reglas del núcleo y desactiva el servicio. Si usa este procedimiento, debe activar el filtro IP con los archivos de configuración adecuados para reiniciar el filtrado de paquetes y NAT. Para obtener más información, consulte Cómo activar y refrescar el filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Cómo usar los derechos administrativos que tiene asignados de Administración de Oracle Solaris 11.1: servicios de seguridad.
$ svcadm disable network/ipfilter
Para probar o depurar el servicio, puede eliminar conjuntos de reglas durante la ejecución del servicio. Para obtener más información, consulte Cómo trabajar con conjuntos de reglas del filtro IP.