Para modificar la política de filtro IP para una configuración automática de red o para utilizar el filtro IP en una red configurada manualmente, debe crear archivos de configuración, comunicar al servicio sobre estos archivos y, a continuación, activar el servicio.
Antes de empezar
Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .
Este archivo contiene el conjunto de reglas de filtrado de paquetes.
# svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
Por ejemplo, especifique en /etc/ipf/myorg.ipf.conf la ubicación del conjunto de reglas de filtrado de paquetes.
# svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP. Para ver ejemplos de los archivos de configuración, consulte Ejemplos de archivos de configuración del filtro IP y el archivo /etc/nwam/loc/NoNet/ipf.conf
pass in all pass out all
Para filtrar los paquetes a través de un sistema NAT, cree un archivo para las reglas NAT con un nombre de archivo predeterminado, /etc/ipf/ipnat.conf. Si utiliza un nombre distinto, debe cambiar el valor de la propiedad del servicio config/ipnat_config_file, como en:
# svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP.
Para hacer referencia a un grupo de direcciones como una agrupación de direcciones única, cree un archivo para la agrupación con el nombre de archivo predeterminado, como /etc/ipf/ippool.conf. Si utiliza un nombre distinto, debe cambiar el valor de la propiedad del servicio config/ippool_config_file, como en:
# svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
Una agrupación de direcciones puede contener cualquier combinación de direcciones IPv4 e IPv6. Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP.
Si desea filtrar el tráfico entre zonas que están configuradas en el sistema, debe activar los filtros en bucle. Consulte Cómo activar los filtros en bucle. También debe definir conjuntos de reglas que se aplican a las zonas.
De manera predeterminada, los fragmentos se vuelven a ensamblar en el filtro IP. Para modificar el valor predeterminado, consulte Cómo desactivar el reensamblaje de paquetes.