Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Cómo crear archivos de configuración de filtro IP

Para modificar la política de filtro IP para una configuración automática de red o para utilizar el filtro IP en una red configurada manualmente, debe crear archivos de configuración, comunicar al servicio sobre estos archivos y, a continuación, activar el servicio.

Antes de empezar

Debe convertirse en un administrador que tiene asignado el perfil de derechos de gestión de filtro IP. Para obtener más información, consulte Uso de sus derechos administrativos asignados de Protección de los usuarios y los procesos en Oracle Solaris 11.2 .

  1. Especifique la ubicación del archivo de política para el servicio de filtro IP.

    Este archivo contiene el conjunto de reglas de filtrado de paquetes.

    1. Primero, configure el archivo de política en custom.
      # svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
    2. A continuación, especifique la ubicación.

      Por ejemplo, especifique en /etc/ipf/myorg.ipf.conf la ubicación del conjunto de reglas de filtrado de paquetes.

      # svccfg -s ipfilter:default \
      setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
  2. Cree un conjunto de reglas de filtrado de paquetes.

    Para obtener información sobre los filtros de paquetes, consulte Uso de la función de filtros de paquetes del filtro IP. Para ver ejemplos de los archivos de configuración, consulte Ejemplos de archivos de configuración del filtro IP y el archivo /etc/nwam/loc/NoNet/ipf.conf


    Notas -  Si el archivo de política especificado está vacío, no se lleva a cabo el filtrado. Un archivo de filtrado de paquetes vacío equivale a tener un conjunto de reglas como el siguiente:
    pass in all
    pass out all

  3. (Opcional) Cree un archivo de configuración de traducción de direcciones de red (NAT) para el filtro IP.

    Para filtrar los paquetes a través de un sistema NAT, cree un archivo para las reglas NAT con un nombre de archivo predeterminado, /etc/ipf/ipnat.conf. Si utiliza un nombre distinto, debe cambiar el valor de la propiedad del servicio config/ipnat_config_file, como en:

    # svccfg -s ipfilter:default \
    setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"

    Para obtener más información sobre NAT, consulte Uso de la función NAT del filtro IP.

  4. (Opcional) Cree un archivo de configuración de agrupaciones de direcciones.

    Para hacer referencia a un grupo de direcciones como una agrupación de direcciones única, cree un archivo para la agrupación con el nombre de archivo predeterminado, como /etc/ipf/ippool.conf. Si utiliza un nombre distinto, debe cambiar el valor de la propiedad del servicio config/ippool_config_file, como en:

    # svccfg -s ipfilter:default \
    setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"

    Una agrupación de direcciones puede contener cualquier combinación de direcciones IPv4 e IPv6. Para obtener más información sobre las agrupaciones de direcciones, consulte Uso de la función de agrupaciones de direcciones del filtro IP.

  5. (Opcional) Active el filtrado de tráfico en bucle de retorno.

    Si desea filtrar el tráfico entre zonas que están configuradas en el sistema, debe activar los filtros en bucle. Consulte Cómo activar los filtros en bucle. También debe definir conjuntos de reglas que se aplican a las zonas.

  6. (Opcional) Desactive el reensamblaje de paquetes fragmentados.

    De manera predeterminada, los fragmentos se vuelven a ensamblar en el filtro IP. Para modificar el valor predeterminado, consulte Cómo desactivar el reensamblaje de paquetes.