El filtro IP permite que los conjuntos de reglas de filtrado de paquetes activos e inactivos residan en el núcleo. El conjunto de reglas activo determina el filtro que se está aplicando en los paquetes entrantes y salientes. El conjunto de reglas inactivo también guarda las reglas. Estas reglas no se utilizan a menos que convierta el conjunto de reglas inactivo en el conjunto activo. Puede administrar, ver y modificar los conjuntos de reglas de filtros de paquetes activos e inactivos.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
En el ejemplo siguiente se muestra el resultado del conjunto de reglas de filtros de paquetes activo que está cargado en el núcleo.
# ipfstat -io empty list for ipfilter(out) pass in quick on net1 from 192.168.1.0/24 to any pass in all block in on net1 from 192.168.1.10/32 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
El ejemplo siguiente muestra el resultado del conjunto de reglas de filtros de paquetes inactivo.
# ipfstat -I -io pass out quick on net1 all pass in quick on net1 all
Siga este procedimiento para llevar a cabo una de las tareas siguientes:
Active un conjunto de reglas de filtros de paquetes que no sea el que está utilizando el filtro IP.
Vuelva a cargar el mismo conjunto de reglas de filtros que se ha actualizado.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Crear un conjunto de reglas en un archivo separado si desea activar un conjunto de reglas completamente distinto.
Actualizar el juego de reglas actual en el archivo de configuración.
# ipf -Fa -f filename
Las reglas de filename reemplazan el conjunto de reglas activo.
En el siguiente ejemplo, se muestra cómo reemplazar un conjunto de reglas de filtrado de paquetes con un conjunto de reglas diferente.
# ipfstat -io empty list for ipfilter(out) pass in quick on net0 all # ipf -Fa -f /etc/ipf/ipfnew.conf # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to anyEjemplo 5-2 Cómo volver a cargar un conjunto de reglas de filtros de paquetes actualizado
El ejemplo siguiente muestra cómo volver a cargar un conjunto de reglas de filtros de paquetes activo y luego actualizarlo.
De manera opcional, muestre el conjunto de reglas activo.
# ipfstat -io empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any
A continuación, edite el archivo de configuración /etc/ipf/myorg.ipf.conf, actualice el servidor y muestre el conjunto de reglas activas nuevamente.
# svcadm refresh network/ipfilter # ipfstat -io empty list for ipfilter (out) block in log quick from 10.0.0.0/8 to any block in quick on net1 from 192.168.0.0/12 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# ipf -F [a|i|o]
Elimina todas las reglas de filtros del conjunto de reglas.
Elimina las reglas de filtros de los paquetes entrantes.
Elimina las reglas de filtros de los paquetes salientes.
El ejemplo siguiente muestra cómo eliminar todas las reglas de filtros del conjunto de reglas de filtros activo.
# ipfstat -io block out log on net0 all block in log quick from 10.0.0.0/8 to any # ipf -Fa # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Anexar reglas a un conjunto de reglas existente puede ser útil durante la prueba o la resolución de problemas. El servicio de filtro IP permanece activado cuando se agregan las reglas. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, las reglas se pierden, a menos que se encuentren en archivos que sean una propiedad del servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Agregue reglas al conjunto de reglas de la línea de comandos mediante el comando ipnat -f -.
# echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
Estas reglas anexadas no forman parte de la configuración del filtro IP cuando el servicio se refresca, se reinicia o se activa.
Ejecute los comandos siguientes:
Cree un conjunto de reglas en el archivo que desee.
Agregue las reglas que creó al conjunto de reglas activo.
# ipf -f filename
Las reglas de filename se agregan al final del conjunto de reglas activo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
Si filename es el valor de una de las propiedades del archivo de configuración del filtro IP, las reglas se volverán a cargar cuando se active, se reinicie o se refresque el servicio. De lo contrario, las reglas anexadas proporcionan un conjunto de reglas temporal.
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas de filtros de paquetes activo desde la línea de comandos.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any # echo "block in on net1 proto tcp from 10.1.1.1/32 to any" | ipf -f - # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
La creación de un conjunto de reglas inactivo en el núcleo puede ser útil durante la prueba o la resolución de problemas. El conjunto de reglas se puede cambiar con el conjunto de reglas activo sin detener el servicio de filtro IP. Sin embargo, cuando el servicio se refresca, se reinicia o se activa, se debe agregar el conjunto de reglas inactivo.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# ipf -I -f filename
Las reglas de filename se agregan al final del conjunto de reglas inactivo. Dado que el filtro IP utiliza un algoritmo de "última regla coincidente", las reglas que agregue determinan las prioridades de los filtros, a menos que utilice la palabra clave quick. Si el paquete coincide con una regla que contiene la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes.
El ejemplo siguiente muestra cómo agregar una regla al conjunto de reglas inactivo desde un archivo.
# ipfstat -I -io pass out quick on net1 all pass in quick on net1 all # ipf -I -f /etc/ipf/ipftrial.conf # ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Cambiar a otro conjunto de reglas diferente en el núcleo puede ser útil durante la prueba o la resolución de problemas. El conjunto de reglas se puede activar sin detener el servicio de filtro IP.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# ipf -s
Este comando permite alternar entre los conjuntos de reglas activo e inactivo del núcleo. Si el conjunto de reglas inactivo está vacío, no se aplicará ningún filtro de paquetes.
En el siguiente ejemplo, se muestra cómo el uso del comando ipf -s convierte el conjunto de reglas inactivo en el conjunto activo, y viceversa.
Antes de ejecutar el comando ipf -s, la salida del comando ipfstat -I -io muestra las reglas del conjunto de reglas inactivo. La salida del comando ipfstat -io muestra las reglas del conjunto de reglas activo.
# ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any
Después de ejecutar el comando ipf -s, la salida del comando ipfstat -I -io y el comando ipfstat -io muestra que se cambió el contenido de los dos conjuntos de reglas.
# ipf -s Set 1 now inactive # ipfstat -io pass out quick on net1 all pass in quick on net1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
# ipf -I -Fa
El ejemplo siguiente muestra cómo vaciar el conjunto de reglas de filtros de paquetes inactivo para eliminar todas las reglas.
# ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on net1 proto tcp from 10.1.1.1/32 to any # ipf -I -Fa # ipfstat -I -io empty list for inactive ipfilter(out) empty list for inactive ipfilter(in)