Sécurisation du réseau dans Oracle® Solaris 11.2

Quitter la vue de l'impression

 
Mis à jour : Septembre 2014
 
 

Création de fichiers de configuration IP Filter

Pour modifier la stratégie IP Filter pour une configuration réseau configurée de manière automatique ou pour utiliser IP Filter dans un réseau configuré manuellement, créez des fichiers de configuration, informez le service de l'existence de ces fichiers, puis activez le service.

Avant de commencer

Vous devez vous connecter en tant qu'administrateur disposant du profil de droits IP Filter Management (gestion IP Filter). Pour plus d'informations, reportez-vous à la section A l’aide de vos droits administratifs attribués du manuel Sécurisation des utilisateurs et des processus dans Oracle Solaris 11.2 .

  1. Spécifiez l'emplacement du fichier de stratégie pour le service IP Filter.

    Ce fichier contient l'ensemble des règles de filtrage de paquets.

    1. Définissez tout d'abord le fichier de stratégie sur custom. 
      # svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
    2. Indiquez ensuite l'emplacement.

      Par exemple, placez votre ensemble de règles de filtrage de paquets à l'emplacement /etc/ipf/myorg.ipf.conf.

      # svccfg -s ipfilter:default \
setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
  2. Créez votre ensemble de règles de filtrage de paquets.

    Pour plus d'informations sur le filtrage de paquets, reportez-vous à la section Utilisation de la fonctionnalité de filtrage de paquets d'IP Filter. Pour consulter des exemples de fichiers de configuration, reportez-vous à la section Exemples de fichiers de configuration IP Filter et au fichier /etc/nwam/loc/NoNet/ipf.conf.

    Remarque -  Si le fichier de stratégie spécifié est vide, aucun filtrage n'est effectué. Un fichier de filtrage de paquets vide correspond à un ensemble de règles défini comme suit : 
    pass in all
pass out all
  3. (Facultatif) Créez un fichier de configuration de translation d'adresse réseau (NAT, Network Address Translation) pour IP Filter.

    Pour filtrer des paquets par le biais d'une NAT, créez un fichier destiné à contenir les règles NAT avec le nom par déaut, /etc/ipf/ipnat.conf. Si vous utilisez un nom différent, il faut remplacer la valeur de la propriété de service config/ipnat_config_file, comme illustré ci-dessous :

    # svccfg -s ipfilter:default \
setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"

    Pour plus d'informations sur NAT, reportez-vous à la section Utilisation de la fonctionnalité NAT d'IP Filter.

  4. (Facultatif) Créez un fichier de configuration de pool d'adresses.

    Pour pouvoir faire référence à un groupe d'adresses par le biais d'un pool d'adresses unique, créez un fichier contenant le pool avec le nom par défaut, /etc/ipf/ippool.conf. Si vous utilisez un nom différent, il faut remplacer la valeur de la propriété de service config/ippool_config_file, comme illustré ci-dessous :

    # svccfg -s ipfilter:default \
setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"

    Un pool d'adresses peut contenir un ensemble quelconque d'adresses IPv4 et IPv6. Pour plus d'informations sur les pools d'adresses, reportez-vous à la section Utilisation de la fonctionnalité de pools d'adresses d'IP Filter.

  5. (Facultatif) Activez le filtrage du trafic en loopback.

    Pour filtrer le trafic entre les zones configurées sur le système, le cas échéant, activez le filtrage de loopback. Reportez-vous à la section Activation du filtrage de loopback. Vous devez également définir des ensembles de règles applicables aux zones.

  6. (Facultatif) Désactivez le réassemblage des paquets fragmentés.

    Par défaut, les fragments sont réassemblés dans IP Filter. Pour modifier cette valeur par défaut, reportez-vous à la section Désactivation du réassemblage des paquets.

Copyright © 1999, 2014, Oracle et/ou ses affiliés. Tous droits réservés. Mentions légales
Précédent
Suivant