탐색 링크 건너뛰기 | |
인쇄 보기 종료 | |
Oracle Solaris 관리: IP 서비스 Oracle Solaris 10 1/13 Information Library (한국어) |
1. Oracle Solaris TCP/IP 프로토콜 제품군(개요)
5. TCP/IP 네트워크 서비스 구성 및 IPv4 주소 지정(작업)
10. TCP/IP 및 IPv4에 대한 자세한 정보(참조)
다른 또는 업데이트된 패킷 필터링 규칙 세트 활성화 방법
활성 패킷 필터링 규칙 세트와 비활성 패킷 필터링 규칙 세트 간 전환 방법
커널에서 비활성 패킷 필터링 규칙 세트를 제거하는 방법
이 절에서는 pfil STREAMS 모듈을 사용하여 IP 필터를 활성화/비활성화하는 방법 및 pfil 통계를 보는 방법에 대해 설명합니다. 이 절차는 다음 Solaris 릴리스 중 하나를 실행하는 시스템에만 적용됩니다.
Solaris 10 3/05 릴리스
Solaris 10 1/06 릴리스
Solaris 10 6/06 릴리스
Solaris 10 11/06 릴리스
다음 작업 맵에서는 pfil 모듈 구성과 관련된 절차를 식별합니다.
표 26-3 pfil 모듈 작업(작업 맵)
|
IP 필터는 Oracle Solaris와 함께 설치됩니다. 그러나 기본적으로 패킷 필터링은 사용으로 설정되어 있지 않습니다. 다음 절차를 사용하여 IP 필터를 활성화합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 System Administration Guide: Security Services의 Configuring RBAC (Task Map)을 참조하십시오.
이 파일에는 호스트의 네트워크 인터페이스 카드(NIC) 이름이 있습니다. 기본적으로 이름은 주석 처리되어 있습니다. 필터링할 네트워크 트래픽을 전달하는 장치 이름을 주석 해제합니다. 시스템의 NIC 이름이 없으면 NIC를 지정하는 라인을 추가합니다.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
패킷 필터링 규칙 세트에는 IP 필터에 사용되는 패킷 필터링 규칙이 포함되어 있습니다. 부트 시 패킷 필터링 규칙이 로드되도록 하려면 IPv4 패킷 필터링이 구현되도록 /etc/ipf/ipf.conf 파일을 편집합니다. IPv6 패킷 필터링 규칙에 /etc/ipf/ipf6.conf 파일을 사용합니다. 부트 시 패킷 필터링 규칙이 로드되지 않도록 하려면 선택한 파일에 규칙을 배치하고 수동으로 패킷 필터링을 활성화합니다. 패킷 필터링에 대한 자세한 내용은 IP 필터의 패킷 필터링 기능 사용을 참조하십시오. 구성 파일 사용에 대한 자세한 내용은 IP 필터 구성 파일 만들기 및 편집를 참조하십시오.
주 - NAT(Network Address Translation)는 IPv6을 지원하지 않습니다.
NAT를 사용하려면 ipnat.conf 파일을 만듭니다. 부트 시 NAT 규칙이 로드되도록 하려면 NAT 규칙을 배치할 /etc/ipf/ipnat.conf라는 파일을 만듭니다. 부트 시 NAT 규칙이 로드되지 않도록 하려면 선택한 위치에 ipnat.conf 파일을 배치하고 수동으로 NAT 규칙을 활성화합니다.
NAT에 대한 자세한 내용은 IP 필터의 NAT 기능 사용을 참조하십시오.
단일 주소 풀로 사용할 주소 그룹을 나타내려면 ipool.conf 파일을 만듭니다. 부트 시 주소 풀 구성 파일이 로드되도록 하려면 주소 풀을 배치할 /etc/ipf/ippool.conf라는 파일을 만듭니다. 부트 시 주소 풀 구성 파일이 로드되지 않도록 하려면 선택한 위치에 ippool.conf 파일을 배치하고 수동으로 규칙을 활성화합니다.
주소 풀에는 IPv4 주소와 IPv6 주소 중 하나만 포함될 수도 있고, IPv4 주소와 IPv6 주소가 모두 포함될 수도 있습니다.
주소 풀에 대한 자세한 내용은 IP 필터의 주소 풀 기능 사용을 참조하십시오.
IP 필터를 사용으로 설정하고 시스템을 재부트합니다.
# svcadm enable network/ipfilter # reboot
주 - NIC에서 ifconfig unplumb 및 ifconfig plumb 명령을 안전하게 사용할 수 없는 경우 재부트가 필요합니다.
ifconfig unplumb 및 ifconfig plumb 명령을 사용하여 NIC를 사용으로 설정합니다. 그런 다음 IP 필터를 사용으로 설정합니다. IPv6 패킷 필터링을 구현하려면 인터페이스의 inet6 버전을 연결해야 합니다.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inte6 unplumb # ifconfig hme0 inet6 plumb fec3:f849::1/96 up # svcadm enable network/ipfilter
ifconfig 명령에 대한 자세한 내용은 ifconfig(1M) 매뉴얼 페이지를 참조하십시오.
/etc/ipf/ipf.conf 파일(또는 IPv6을 사용하는 경우 /etc/ipf/ipf6.conf 파일)이 있는 경우에는 재부트 시 IP 필터가 사용으로 설정됩니다. IP 필터를 사용으로 설정한 후 NIC에서 필터링을 사용으로 설정하려면 다음 절차를 사용합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 System Administration Guide: Security Services의 Configuring RBAC (Task Map)을 참조하십시오.
이 파일에는 호스트의 NIC 이름이 있습니다. 기본적으로 이름은 주석 처리되어 있습니다. 필터링할 네트워크 트래픽을 전달하는 장치 이름을 주석 해제합니다. 시스템의 NIC 이름이 없으면 NIC를 지정하는 라인을 추가합니다.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil hme -1 0 pfil (Device has been uncommented for filtering) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
# svcadm restart network/pfil
시스템을 재부트합니다.
# reboot
주 - NIC에서 ifconfig unplumb 및 ifconfig plumb 명령을 안전하게 사용할 수 없는 경우 재부트가 필요합니다.
ifconfig 명령과 unplumb 및 plumb 옵션을 사용하여 필터링할 NIC를 사용으로 설정합니다. IPv6 패킷 필터링을 구현하려면 각 인터페이스의 inet6 버전을 연결해야 합니다.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
ifconfig 명령에 대한 자세한 내용은 ifconfig(1M) 매뉴얼 페이지를 참조하십시오.
NIC에서 패킷 필터링을 중지하려면 다음 절차를 사용합니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 System Administration Guide: Security Services의 Configuring RBAC (Task Map)을 참조하십시오.
이 파일에는 호스트의 NIC 이름이 있습니다. 네트워크 트래픽을 필터링하는 데 사용되는 NIC는 주석 해제되어 있습니다. 더 이상 네트워크 트래픽을 필터링하는 데 사용하지 않을 장치 이름을 주석 처리합니다.
# vi /etc/ipf/pfil.ap # IP Filter pfil autopush setup # # See autopush(1M) manpage for more information. # # Format of the entries in this file is: # #major minor lastminor modules #le -1 0 pfil #qe -1 0 pfil #hme -1 0 pfil (Commented-out device no longer filters network traffic) #qfe -1 0 pfil #eri -1 0 pfil #ce -1 0 pfil #bge -1 0 pfil #be -1 0 pfil #vge -1 0 pfil #ge -1 0 pfil #nf -1 0 pfil #fa -1 0 pfil #ci -1 0 pfil #el -1 0 pfil #ipdptp -1 0 pfil #lane -1 0 pfil #dmfe -1 0 pfil
시스템을 재부트합니다.
# reboot
주 - NIC에서 ifconfig unplumb 및 ifconfig plumb 명령을 안전하게 사용할 수 없는 경우 재부트가 필요합니다.
ifconfig 명령과 unplumb 및 plumb 옵션을 사용하여 NIC를 비활성화합니다. IPv6 패킷 필터링을 비활성화하려면 각 인터페이스의 inet6 버전을 연결 해제해야 합니다. 다음 단계를 수행하십시오. 시스템의 샘플 장치는 hme입니다.
비활성화 중인 장치의 주 번호를 식별합니다.
# grep hme /etc/name_to_major hme 7
hme0.의 현재 autopush 구성을 표시합니다.
# autopush -g -M 7 -m 0 Major Minor Lastminor Modules 7 ALL - pfil
autopush 구성을 제거합니다.
# autopush -r -M 7 -m 0
장치를 열고 장치에 IP 주소를 지정합니다.
# ifconfig hme0 unplumb # ifconfig hme0 plumb 192.168.1.20 netmask 255.255.255.0 up # ifconfig hme0 inet6 unplumb # ifconfig hme0 inet6 plumb fec3:f840::1/96 up
ifconfig 명령에 대한 자세한 내용은 ifconfig(1M) 매뉴얼 페이지를 참조하십시오.
IP 필터의 문제를 해결할 때 pfil 통계를 볼 수 있습니다.
만든 역할에 IP Filter Management 권한 프로파일을 지정할 수 있습니다. 역할을 만들어 사용자에게 지정하려면 System Administration Guide: Security Services의 Configuring RBAC (Task Map)을 참조하십시오.
# ndd -get /dev/pfil qif_status
예 26-1 IP 필터에 대한 pfil 통계 보기
다음 예에서는 pfil 통계를 보는 방법을 보여 줍니다.
# ndd -get /dev/pfil qif_status ifname ill q OTHERQ num sap hl nr nw bad copy copyfail drop notip nodata notdata QIF6 0 300011247b8 300011248b0 6 806 0 4 9 0 0 0 0 0 0 0 dmfe1 3000200a018 30002162a50 30002162b48 5 800 14 171 13681 0 0 0 0 0 0 0