Protección de la red en Oracle® Solaris 11.2

Salir de la Vista de impresión

Actualización: Septiembre de 2014
 
 

Uso de la función de filtros de paquetes del filtro IP

Los filtros de paquetes se configuran con los conjuntos de reglas de filtros de paquetes. Utilice el comando ipf para trabajar con conjuntos de reglas de filtros de paquetes. Para obtener más información acerca del comando ipf, consulte el comando ipf(1M).

Puede crear reglas de filtros de paquetes en la línea de comandos, utilizando el comando ipf, o en un archivo de configuración de filtros de paquetes. Para cargar el archivo de configuración, debe crear el archivo y, a continuación, proporcionar el nombre de la ruta al servicio de filtro IP.

Puede mantener dos conjuntos de reglas de filtros de paquetes con el filtro IP: el conjunto de reglas activo y el conjunto de reglas inactivo. En la mayoría de los casos, se trabaja con el conjunto de reglas activo. Sin embargo, el comando ipf -I permite aplicar la acción del comando a la lista de reglas inactivas. El filtro IP no utiliza la lista de reglas inactivas a menos que lo seleccione. La lista de reglas inactivas es un lugar donde guardar las reglas para que no afecten a los filtros de paquetes activos.

El filtro IP procesa las reglas de la lista de reglas desde el principio de la lista de reglas configuradas hasta el final, antes de transferir o bloquear un paquete. El filtro IP incluye un indicador que determina si se transferirá un paquete. Se aplica a todo el conjunto de reglas y determina si se transferirá o bloqueará el paquete basándose en la última regla coincidente.

Existen dos excepciones para este proceso. La primera tiene lugar si el paquete coincide con una regla que contenga la palabra clave quick. Si una regla incluye la palabra clave quick, se lleva a cabo la acción de dicha regla y no se comprueban las reglas subsiguientes. La segunda excepción se produce si el paquete coincide con una regla que contenga la palabra clave group. Si un paquete coincide con un grupo, sólo se comprueban las reglas etiquetadas con el grupo.

Configuración de reglas de filtros de paquetes

Utilice la sintaxis siguiente para crear reglas de filtros de paquetes:

action [in|out] option keyword, keyword...
  1. Cada regla empieza por una acción. El filtro IP aplica la acción al paquete si éste coincide con la regla. La lista siguiente incluye las acciones utilizadas comúnmente que se aplican a un paquete.

    block

    Impide que el paquete se transfiera a través del filtro.

    pass

    Permite que el paquete se transfiera a través del filtro.

    log

    Registra el paquete pero no determina si se bloquea o se transfiere. Utilice el comando ipmon para ver el log.

    count

    Incluye el paquete en las estadísticas de filtro. Utilice el comando ipfstat para ver las estadísticas.

    skip number

    Hace que el filtro omita number reglas de filtros.

    auth

    Solicita la autenticación de paquetes por parte de un programa de usuario que valida la información de paquetes. El programa determina si el paquete se transferirá o se bloqueará.

  2. Según la acción que se lleve a cabo, la siguiente palabra debe ser in o out. Su elección determina si la regla de filtro de paquetes se aplica a un paquete entrante o saliente.

  3. A continuación, puede elegir en una lista de opciones. Si utiliza más de una opción, debe hacerlo en el orden siguiente.

    log

    Registra el paquete si la regla es la última regla coincidente. Utilice el comando ipmon para ver el log.

    quick

    Ejecuta la regla que contiene la opción quick si hay coincidencia de paquetes. Se detiene cualquier comprobación de reglas adicional.

    on interface-name

    Aplica la regla sólo si el paquete se transfiere a la interfaz especificada o desde ella.

    dup-to interface-name

    Copia el paquete y envía el duplicado de nombre_interfaz a una dirección IP especificada opcionalmente.


    Notas - La opción dup-to de la regla permite al administrador de red crear una conexión de red. Aunque esta opción todavía se admite en Oracle Solaris, su importancia está poco valorada. Hay disponibles conmutadores modernos que le permiten configurar directamente los puertos para realizar conexiones de red, lo que elimina la necesidad de definir esta función en una regla. Consulte la documentación del conmutador para la configuración de puertos para conexión con la red.
    to interface-name

    Transfiere el paquete a una cola de salida en interface-name.

  4. Una vez especificadas las opciones, puede elegir entre varias palabras clave que determinan si el paquete coincide con la regla. Las siguientes palabras clave deben utilizarse en el orden que se indica.


    Notas - De modo predeterminado, cualquier paquete que no coincida con ninguna regla en el archivo de configuración se transfiere a través del filtro.
    tos

    Filtra el paquete basándose en el valor de tipo de servicio expresado como entero decimal o hexadecimal.

    ttl

    Hace coincidir el paquete basándose en su valor de tiempo de vida. El valor de tiempo de vida que se guarda en un paquete indica el tiempo que puede permanecer un paquete en la red antes de que se descarte.

    proto

    Coincide con un protocolo específico. Puede utilizar cualquier nombre de protocolo especificado en el archivo /etc/protocols, o utilizar un número decimal para representar el protocolo. La palabra clave tcp/udp se puede utilizar para hacer coincidir un paquete TCP o UDP.

    from/to/all/any

    Hace coincidir cualquiera o todos los elementos siguientes: la dirección IP de origen, la dirección IP de destino y el número de puerto. La palabra clave all se utiliza para aceptar paquetes de todos los orígenes y con todos los destinos.

    with

    Hace coincidir los atributos especificados asociados con el paquete. Inserte las palabras not o no delante de la palabra clave para que el paquete coincida sólo si no está presente la opción.

    flags

    Se utiliza para que TCP filtra basándose en los indicadores TCP configurados. Para obtener más información sobre los indicadores TCP, consulte la página del comando man ipf(4).

    icmp-type

    Filtra de acuerdo con el tipo de ICMP. Esta palabra clave sólo se utiliza cuando la opción proto se configura como icmp y no se utiliza si se usa la opción flags.

    keep keep-options

    Determina la información que se guarda para un paquete. Las opciones keep-options disponibles incluyen la opción state. La opción state guarda información sobre la sesión y se puede conservar para paquetes TCP, UDP e ICMP.

    head number

    Crea un grupo para las reglas de filtros, que se indica mediante el número número.

    group number

    Agrega la regla al número de grupo número en lugar de agregarla al grupo predeterminado. Todas las reglas de filtros se colocan en el grupo 0 si no se especifica otro.

El ejemplo siguiente ilustra cómo agrupar la sintaxis de reglas de filtros de paquetes para crear una regla. Para bloquear el tráfico entrante de la dirección IP 192.168.0.0/16, debe incluir la siguiente regla en la lista:

block in quick from 192.168.0.0/16 to any

Para ver la gramática y la sintaxis completas que se utilizan para escribir reglas de filtros de paquetes, consulte la página del comando man ipf(4). Para conocer las tareas asociadas con los filtros de paquetes, consulte Gestión de conjunto de reglas de filtro de paquetes para filtro IP. Para obtener una explicación del esquema de direcciones IP (192.168.0.0/16) que se muestra en este ejemplo, consulte el Capítulo 1, Planificación de la implementación de red de Planificación de la implementación de red en Oracle Solaris 11.2 .