Ignorer les liens de navigation | |
Quitter l'aperu | |
![]() |
Administration d'Oracle Solaris : Services IP Oracle Solaris 10 1/13 Information Library (Français) |
Partie I Introduction à l'administration système : services IP
1. Suite de protocoles réseau TCP/IP Oracle Solaris (présentation)
Partie II Administration TCP/IP
2. Planification de votre réseau TCP/IP (tâches)
4. Planification d'un réseau IPv6 (tâches)
5. Configuration des services réseau TCP/IP et de l'adressage IPv4 (tâches)
6. Administration d'interfaces réseau (tâches)
7. Configuration d'un réseau IPv6 (tâches)
8. Gestion d'un réseau TCP/IP (tâches)
9. Dépannage des problèmes de réseau (tâches)
10. Présentation détaillée de TCP/IP et IPv4 (référence)
11. Présentation détaillée de IPv6 (référence)
12. A propos de DHCP (présentation)
13. Planification pour le service DHCP (liste des tâches)
14. Configuration du service DHCP (tâches)
15. Administration de DHCP (tâches)
16. Configuration et administration du client DHCP
17. Résolution des problèmes DHCP (référence)
18. Commandes et fichiers DHCP (référence)
19. Architecture IPsec (présentation)
20. Configuration d'IPsec (tâches)
21. Architecture IPsec (référence)
22. Protocole IKE (présentation)
23. Configuration du protocole IKE (tâches)
25. IP Filter dans Oracle Solaris (présentation)
Activation du filtrage de loopback
Désactivation du filtrage de paquets
Désactivation du filtrage de paquets
Activation d'IP Filter dans les versions Solaris précédentes
Activation d'une NIC pour le filtrage de paquets
Utilisation des ensembles de règles IP Filter
Gestion des ensembles de règles de filtrage de paquets d'IP Filter
Affichage de l'ensemble actif de règles de filtrage de paquets
Affichage de l'ensemble inactif de règles de filtrage de paquets
Activation d'un nouvel ensemble de règles de filtrage de paquets ou d'un ensemble mis à jour
Suppression d'un ensemble de règles de filtrage de paquets
Ajout de règles à l'ensemble actif de règles de filtrage de paquets
Ajout de règles à l'ensemble inactif de règles de filtrage de paquets
Basculement entre les ensembles actif et inactif de règles de filtrage de paquets
Suppression d'un ensemble inactif de règles de filtrage de paquets du noyau
Gestion des règles NAT d'IP Filter
Affichage des règles NAT actives
Ajout de règles aux règles NAT
Gestion des pools d'adresses d'IP Filter
Affichage des pools d'adresses actifs
Suppression d'un pool d'adresses
Ajout de règles à un pool d'adresses
Affichage des statistiques et des informations relatives à IP Filter
Affichage des tables d'état d'IP Filter
Affichage des statistiques d'état d'IP Filter
Affichage des statistiques NAT d'IP Filter
Affichage des statistiques de pool d'adresses d'IP Filter
Utilisation des fichiers journaux IP Filter
Configuration d'un fichier journal d'IP Filter
Affichage des fichiers journaux IP Filter
Vidage du fichier journal de paquets
Enregistrement dans un fichier des paquets consignés
Création et modification des fichiers de configuration IP Filter
Création d'un fichier de configuration d'IP Filter
Exemples de fichiers de configuration IP Filter
28. Administration d'IPMP (tâches)
Partie VI Qualité de service IP (IPQoS)
29. Présentation d'IPQoS (généralités)
30. Planification d'un réseau IPQoS (tâches)
31. Création du fichier de configuration IPQoS (tâches)
32. Démarrage et maintenance d'IPQoS (tâches)
33. Utilisation de la comptabilisation des flux et de la collecte statistique (tâches)
Cette section décrit l'utilisation du module pfil STREAMS pour activer ou désactiver IP Filter et afficher les statistiques pfil. Les procédures s'appliquent uniquement aux systèmes exécutant l'une des versions Solaris ci-dessous :
Solaris 10 3/05
Solaris 10 1/06
Solaris 10 6/06
Solaris 10 11/06
La liste des tâches ci-dessous identifie les procédures associées à la configuration du module pfil.
Tableau 26-3 Utilisation du module pfil (liste des tâches)
|
IP Filter est installé avec Oracle Solaris. Toutefois, le filtrage de paquets n'est pas activé par défaut. Pour activer IP Filter, suivez la procédure ci-dessous.
Remarque - Si votre système exécute la version Solaris 10 7/07 ou une version ultérieure, suivez la procédure Activation d'IP Filter utilisant des crochets de filtre de paquets.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Ce fichier contient les noms des cartes d'interface réseau (NIC, Network Interface Card) présentes sur l'hôte. Par défaut, les noms sont commentés. Annulez le commentaire des noms de périphérique correspondant au trafic réseau que vous souhaitez filtrer. Si la NIC de votre système n'est pas répertoriée, ajoutez une ligne pour la spécifier.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
L'ensemble de règles de filtrage de paquets contient les règles de filtrage de paquets utilisées par IP Filter. Pour charger les règles de filtrage de paquets à l'initialisation, modifiez le fichier /etc/ipf/ipf.conf afin d'implémenter le filtrage de paquets IPv4. Utilisez le fichier /etc/ipf/ipf6.conf pour les règles de filtrage de paquets IPv6. Si vous ne souhaitez pas charger les règles de filtrage de paquets à l'initialisation, insérez-les dans le fichier de votre choix, puis activez manuellement le filtrage de paquets. Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets d'IP Filter. Pour plus d'informations sur l'utilisation des fichiers de configuration, reportez-vous à la section Création et modification des fichiers de configuration IP Filter.
Remarque - NAT ne prend pas en charge IPv6.
Créez le fichier ipnat.conf si vous souhaitez utiliser la translation d'adresse réseau. Si vous souhaitez charger les règles NAT à l'initialisation, créez le fichier /etc/ipf/ipnat.conf afin d'y insérer les règles NAT. Si vous ne souhaitez pas charger les règles NAT à l'initialisation, placez le fichier ipnat.conf dans le répertoire de votre choix, puis activez manuellement les règles NAT.
Pour plus d'informations sur NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT d'IP Filter.
Créez un fichier ipool.conf si vous souhaitez référencer un groupe d'adresses sous la forme d'un pool d'adresses unique. Pour charger le fichier de configuration de pool d'adresses à l'initialisation, créez le fichier /etc/ipf/ippool.conf afin d'y insérer le pool d'adresses. Si vous ne souhaitez pas charger le fichier de configuration de pool d'adresses à l'initialisation, placez le fichier ippool.conf dans le répertoire de votre choix, puis activez manuellement les règles.
Un pool d'adresses peut contenir exclusivement des adresses IPv4 ou exclusivement des adresses IPv6. Il peut également contenir à la fois des adresses IPv4 et des adresses IPv6.
Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses d'IP Filter.
Activez IP Filter et réinitialisez la machine.
# svcadm enable network/ipfilter # reboot
Remarque - La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.
Activez les NIC à l'aide des commandes ifconfig unplumb et ifconfig plumb. Activez ensuite IP Filter. La version inet6 de l'interface doit être montée afin de permettre l'implémentation du filtrage de paquets IPv6.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter
Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).
IP Filter est activé à l'initialisation lorsque le fichier /etc/ipf/ipf.conf (ou le fichier /etc/ipf/ipf6.conf, si vous utilisez IPv6) existe. Pour activer le filtrage sur une NIC une fois IP Filter activé, le cas échéant, suivez la procédure ci-dessous.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Ce fichier contient les noms des NIC présentes sur l'hôte. Par défaut, les noms sont commentés. Annulez le commentaire des noms de périphérique correspondant au trafic réseau que vous souhaitez filtrer. Si la NIC de votre système n'est pas répertoriée, ajoutez une ligne pour la spécifier.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
Redémarrez l'ordinateur.
# reboot
Remarque - La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.
Activez les NIC à filtrer à l'aide de la commande ifconfig avec les options unplumb et plumb. La version inet6 de chaque interface doit être montée afin de permettre l'implémentation du filtrage de paquets IPv6.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).
Pour arrêter le filtrage des paquets sur une NIC, le cas échéant, suivez la procédure ci-dessous.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
Ce fichier contient les noms des NIC présentes sur l'hôte. Le commentaire des NIC utilisées pour filtrer le trafic réseau est annulé. Commentez les noms des périphériques que vous ne souhaitez plus utiliser pour filtrer le trafic réseau.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
Redémarrez l'ordinateur.
# reboot
Remarque - La réinitialisation est requise si l'exécution des commandes ifconfig unplumb et ifconfig plumb sur les NIC n'est pas sécurisée.
Désactivez les NIC à l'aide de la commande ifconfig avec les options unplumb et plumb. La version inet6 de chaque interface doit être démontée afin de permettre la désactivation du filtrage de paquets IPv6. Procédez comme suit. Le périphérique système hme est utilisé en exemple :
Identifiez le numéro majeur du périphérique à désactiver.
# grep hme /etc/name_to_major hme 7
Affichez la configuration autopush actuelle pour hme0.
# autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil
Supprimez la configuration autopush.
# autopush -r -M 7 -m 0
Ouvrez le périphérique et attribuez les adresses IP au périphérique.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
Pour de plus amples informations sur la commande ifconfig, reportez-vous à la page de manuel ifconfig(1M).
Vous pouvez afficher les statistiques pfil lors du dépannage d'IP Filter.
Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du manuel System Administration Guide: Security Services.
# ndd -get /dev/pfil qif_status
Exemple 26-1 Affichage des statistiques pfil d'IP Filter
L'exemple ci-dessous illustre l'affichage des statistiques pfil.
# ndd -get /dev/pfil qif_status ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata notdata QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0 dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0