Cómo configurar el filtro IP

Realice este procedimiento para configurar la función de filtro de IP del software de Oracle Solaris en el cluster global.

Para obtener más información sobre la función de filtro IP, consulte el Capítulo 4, Acerca del filtro IP en Oracle Solaris de Protección de la red en Oracle Solaris 11.2 .

Antes de empezar

Lea las directrices y restricciones que se deben seguir al configurar el filtro IP en un cluster. Consulte el apartado relativo al filtro IP en Requisitos y restricciones de las funciones del sistema operativo Oracle Solaris.

1. Asuma el rol root.
2. Agregue las reglas de filtros al archivo /etc/ipf/ipf.conf en todos los nodos afectados.

   Tenga en cuenta las siguientes directrices y requisitos al agregar reglas de filtros a los nodos de Oracle Solaris Cluster.

   • En el archivo ipf.conf de cada uno de los nodos, agregue las reglas para permitir de forma explícita el paso del tráfico de interconexión del cluster sin filtrar. Las reglas que no sean específicas de una interfaz se aplicarán a todas las interfaces, incluidas las interconexiones del cluster. Asegúrese de que no se bloquee por error el tráfico en estas interfaces. Si se bloquea el tráfico de interconexión, la configuración del filtro IP interfiere en las operaciones de infraestructura y entrada en comunicación de cluster.

     Por ejemplo, suponga que se estén utilizando actualmente las siguientes reglas:

     # Default block TCP/UDP unless some later rule overrides
     block return-rst in proto tcp/udp from any to any
     
     # Default block ping unless some later rule overrides
     block return-rst in proto icmp all

     Para desbloquear el tráfico de interconexión del cluster, agregue las siguientes reglas. Las subredes se utilizan únicamente a modo de ejemplo. Obtenga las subredes que se van a utilizar mediante el comando ifconfig show-addr | grep interface.

     # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
     pass in quick proto tcp/udp from 172.16.0.128/25 to any
     pass out quick proto tcp/udp from 172.16.0.128/25 to any
     
     # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
     pass in quick proto tcp/udp from 172.16.1.0/25 to any
     pass out quick proto tcp/udp from 172.16.1.0/25 to any
     
     # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
     pass in quick proto tcp/udp from 172.16.4.0/23 to any
     pass out quick proto tcp/udp from 172.16.4.0/23 to any

   • Puede especificar el nombre del adaptador o la dirección IP de una red privada de clusters. Por ejemplo, la regla siguiente especifica una red privada de clusters por el nombre de su adaptador:

     # Allow all traffic on cluster private networks.
     pass in quick on net1 all
     …

   • El software Oracle Solaris Cluster migra las direcciones de red de un nodo a otro tras un error. No se necesita ningún procedimiento o código especial durante el failover.

   • Todas las reglas de filtrado que hacen referencia a las direcciones IP de los recursos de dirección compartida y nombre de host lógico deben ser idénticas en todos los nodos del cluster.

   • Las reglas en un nodo en espera harán referencia a una dirección IP inexistente. Esta regla sigue formando parte del conjunto de reglas activas del filtro IP y se aplicará cuando el nodo reciba la dirección tras el failover.

   • Todas las reglas de filtrado deben ser iguales para todos los NIC del mismo grupo IPMP. En otras palabras, si una regla es específica de una interfaz, la misma regla debe aplicarse a todas las demás interfaces del grupo IPMP.

   Para obtener más información sobre las reglas del filtro IP, consulte la página de comando man ipf(4).

3. Active el servicio de SMF ipfilter.

   phys-schost# svcadm enable /network/ipfilter:default

Pasos siguientes

Configure el software Oracle Solaris Cluster en todos los nodos del cluster. Vaya a Establecimiento de un nuevo cluster global o de un nuevo nodo de cluster global.