| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
| Ignorer les liens de navigation | |
| Quitter l'aperu | |
|
|
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. A propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
22. Protocole IKE (présentation)
23. Configuration du protocole IKE (tâches)
25. IP Filter dans Oracle Solaris (présentation)
Activation du filtrage de loopback
Désactivation du filtrage de paquets
Désactivation du filtrage de paquets
Activation d'IP Filter dans les versions Solaris précédentes
Activation d'une NIC pour le filtrage de paquets
Désactivation d'IP Filter sur une NIC
Affichage des statistiques pfil d'IP Filter
Utilisation des ensembles de règles IP Filter
Gestion des ensembles de règles de filtrage de paquets d'IP Filter
Affichage de l'ensemble actif de règles de filtrage de paquets
Affichage de l'ensemble inactif de règles de filtrage de paquets
Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour
Suppression d'un ensemble de règles de filtrage de paquets
Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Ajout de règles à l'ensemble inactif de règles de filtrage de paquets
Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Gestion des règles NAT d'IP Filter
Affichage des règles NAT actives
Ajout de règles aux règles NAT
Gestion des pools d'adresses d'IP Filter
Affichage des pools d'adresses actifs
Affichage des statistiques et des informations relatives à IP Filter
Affichage des tables d'état d'IP Filter
Affichage des statistiques d'état d'IP Filter
Affichage des statistiques NAT d'IP Filter
Affichage des statistiques de pool d'adresses d'IP Filter
Utilisation des fichiers journaux IP Filter
Configuration d'un fichier journal d'IP Filter
Affichage des fichiers journaux IP Filter
Vidage du fichier journal de paquets
Enregistrement dans un fichier des paquets consignés
Création et modification des fichiers de configuration IP Filter
Création d'un fichier de configuration d'IP Filter
Exemples de fichiers de configuration IP Filter
28. Administration d'IPMP (tâches)
Partie VI Qualité de service IP (IPQoS)
29. Présentation d'IPQoS (généralités)
30. Planification d'un réseau IPQoS (tâches)
31. Création du fichier de configuration IPQoS (tâches)
32. Démarrage et maintenance d'IPQoS (tâches)
33. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
La liste des tâches ci-dessous identifie les procédures associées aux ensembles de règles IP Filter.
Tableau 26-4 Utilisation des ensembles de règles IP Filter (liste des tâches)
|
Lorsque cette option est activée, les ensembles actif et inactif de règles de filtrage de paquets peuvent résider dans le noyau. L'ensemble de règles actif détermine le filtrage appliqué aux paquets entrants et aux paquets sortants. L'ensemble de règles inactif contient également des règles. Ces règles ne sont pas appliquées, sauf si vous définissez l'ensemble de règles inactif comme l'ensemble de règles actif. Vous pouvez gérer, afficher et modifier les ensembles actif et inactif de règles de filtrage de paquets.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipfstat -io
Exemple 26-2 Affichage de l'ensemble actif de règles de filtrage de paquets
L'exemple ci-dessous présente la sortie de l'ensemble actif de règles de filtrage de paquets chargé dans le noyau.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe1 from 192.168.1.0/24 to any pass in all block in on dmfe1 from 192.168.1.10/32 to any
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipfstat -I -io
Exemple 26-3 Affichage de l'ensemble inactif de règles de filtrage de paquets
L'exemple ci-dessous présente la sortie d'un ensemble inactif de règles de filtrage de paquets.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all
Effectuez la procédure ci-dessous pour exécuter l'une ou l'autre des tâches suivantes :
Activation d'un ensemble de règles de filtrage de paquets différent de celui que IP Filter utilise actuellement
Rechargement du même ensemble de règles de filtrage mis à jour.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Si vous souhaitez activer un ensemble de règles complètement différent, créez-le dans un fichier distinct.
Pour mettre à jour l'ensemble de règles actuel, modifiez le fichier de configuration contenant l'ensemble de règles.
# ipf -Fa -f filename
La variable filename peut correspondre à un fichier contenant un ensemble de règles complètement différent, ou au fichier contenant l'ensemble de règles actif, mis à jour.
L'ensemble de règles actif est supprimé du noyau. Les règles du fichier filename constituent dorénavant l'ensemble de règles actif.
Remarque - Même si vous rechargez le fichier de configuration actuel, vous devez exécuter la commande. Dans le cas contraire, le système ignore l'ensemble de règles modifié défini dans le fichier de configuration mis à jour et continue d'appliquer l'ancien ensemble de règles.
N'utilisez pas de commandes telles que ipf -D ou svcadm restart pour charger l'ensemble de règles mis à jour. Ces commandes affectent la sécurité du réseau, car elles désactivent le pare-feu avant de charger le nouvel ensemble de règles.
Exemple 26-4 Activation d'un nouvel ensemble de règles de filtrage de paquets
Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets est remplacé par un autre ensemble se trouvant dans un fichier de configuration distinct, /etc/ipf/ipf.conf.
# ipfstat -io empty list for ipfilter(out) pass in quick on dmfe all # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any
Exemple 26-5 Rechargement d'un ensemble de règles de filtrage de paquets mis à jour
Dans l'exemple ci-dessous, un ensemble de règles de filtrage de paquets actuellement actif est rechargé suite à sa mise à jour. Dans cet exemple, le fichier utilisé est /etc/ipf/ipf.conf.
# ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any (Edit the /etc/ipf/ipf.conf configuration file.) # ipf -Fa -f /etc/ipf/ipf.conf # ipfstat -io (Optional) empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on elx10 from 192.168.0.0/12 to any
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipf -F [a|i|o]
Supprime toutes les règles de filtrage de l'ensemble de règles.
Supprime les règles de filtrage pour les paquets entrants.
Supprime les règles de filtrage pour les paquets sortants.
Exemple 26-6 Suppression d'un ensemble de règles de filtrage de paquets
Dans l'exemple ci-dessous, toutes les règles de filtrage sont supprimées de l'ensemble de règles de filtrage actif.
# ipfstat -io block out log on dmf0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ipf -f -.
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Exécutez les commandes ci-dessous :
Créez un ensemble de règles dans le fichier de votre choix.
Ajoutez ces règles à l'ensemble de règles actif.
# ipf -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin de l'ensemble de règles actif. IP Filter utilise un algorithme de type "dernière règle correspondante", de sorte que les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.
Exemple 26-7 Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble actif de règles de filtrage de paquets à partir de la ligne de commande.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipf -I -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin de l'ensemble de règles inactif. IP Filter utilise un algorithme de type "dernière règle correspondante", de sorte que les nouvelles règles déterminent les priorités de filtrage, sauf si l'utilisateur ajoute le mot-clé quick. Si le paquet correspond à une règle contenant le mot-clé quick, l'action associée à cette règle est exécutée et les règles suivantes sont ignorées.
Exemple 26-8 Ajout de règles à l'ensemble de règles inactif
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles inactif à partir d'un fichier.
# ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all # ipf -I -f /etc/ipf/ipf.conf # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipf -s
Cette commande permet de basculer entre les ensembles de règles actif et inactif dans le noyau. Si l'ensemble de règles inactif est vide, aucun filtrage de paquets n'est effectué.
Exemple 26-9 Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Dans l'exemple ci-dessous, la commande ipf -s est exécutée. L'ensemble de règles inactif devient alors l'ensemble de règles actif, tandis que l'ensemble de règles actif devient l'ensemble de règles inactif.
Avant l'exécution de la commande ipf -s, la sortie de la commande ipfstat -I -io permet d'afficher les règles de l'ensemble de règles inactif. La sortie de la commande ipfstat -io affiche les règles de l'ensemble de règles actif.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any
Une fois la commande ipf -s exécutée, les sorties des commandes ipfstat -I -io et ipfstat -io indiquent que le contenu des deux ensembles de règles a été échangé.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipf -I -Fa
Cette commande vide l'ensemble de règles inactif du noyau.
Remarque - Si vous exécutez ensuite la commande ipf -s, l'ensemble de règles inactif vide devient l'ensemble de règles actif. Si l'ensemble de règles actif est vide, aucun filtrage n'est effectué.
Exemple 26-10 Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Dans l'exemple ci-dessous, l'ensemble inactif de règles de filtrage de paquets est vidé afin de supprimer toutes les règles.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)
Appliquez les procédures ci-dessous pour gérer, afficher et modifier les règles NAT.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipnat -l
Exemple 26-11 Affichage des règles NAT actives
L'exemple ci-dessous présente la sortie de l'ensemble de règles NAT actif.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ipnat -C
Exemple 26-12 Suppression des règles NAT
Dans l'exemple ci-dessous, les entrées des règles NAT actuelles sont supprimées.
# ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions: # ipnat -C 1 entries flushed from NAT list # ipnat -l List of active MAP/Redirect filters: List of active sessions:
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Pour ajouter des règles à l'ensemble de règles NAT via la ligne de commande, exécutez la commande ipnat -f -.
# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -
Exécutez les commandes ci-dessous :
Créez des règles NAT supplémentaires dans le fichier de votre choix.
Ajoutez ces règles aux règles NAT actives.
# ipnat -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin des règles NAT.
Exemple 26-13 Ajout de règles à l'ensemble de règles NAT
Dans l'exemple ci-dessous, une règle est ajoutée à l'ensemble de règles NAT via la ligne de commande.
# ipnat -l List of active MAP/Redirect filters: List of active sessions: # echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f - # ipnat -l List of active MAP/Redirect filters: map dmfe0 192.168.1.0/24 -> 20.20.20.1/32 List of active sessions:
Appliquez les procédures ci-dessous pour gérer, afficher et modifier les pools d'adresses.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ippool -l
Exemple 26-14 Affichage du pool d'adresses actif
Dans l'exemple ci-dessous, le contenu du pool d'adresses actif est affiché.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ippool -F
Exemple 26-15 Suppression d'un pool d'adresses
Dans l'exemple ci-dessous, un pool d'adresses est supprimé.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# ippool -F
1 object flushed
# ippool -l
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Pour ajouter des règles à l'ensemble de règles via la ligne de commande, exécutez la commande ippool -f -.
# echo "table role = ipf type = tree number = 13
{10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24};" | ippool -f -Exécutez les commandes ci-dessous :
Créez des pools d'adresses supplémentaires dans le fichier de votre choix.
Ajoutez ces règles au pool d'adresses actif.
# ippool -f filename
Les règles présentes dans le fichier filename sont ajoutées à la fin du pool d'adresses actif.
Exemple 26-16 Ajout de règles à un pool d'adresses
Dans l'exemple ci-dessous, un pool d'adresses est ajouté à l'ensemble de règles de pool d'adresses via la ligne de commande.
# ippool -l
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
# echo "table role = ipf type = tree number = 100
{10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24};" | ippool -f -
# ippool -l
table role = ipf type = tree number = 100
{ 10.0.0.0/32, 172.16.1.2/32, 192.168.1.0/24; };
table role = ipf type = tree number = 13
{ 10.1.1.1/32, 10.1.1.2/32, 192.168.1.0/24; };
|