IP フィルタ構成ファイルの作成方法

言語:

自動的に構成されたネットワーク構成の IP フィルタポリシーを変更するか、または手動で構成されたネットワークで IP フィルタを使用するには、構成ファイルを作成し、これらのファイルについてサービスに通知し、サービスを有効にします。

始める前に

IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の割り当てられている管理権利の使用を参照してください。

IP フィルタサービスのポリシーファイルの場所を指定します。
このファイルには、パケットフィルタリング規則セットが含まれます。
1. まず、ポリシーファイルを custom に設定します。
```
# svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
```
2. 次に、場所を指定します。
  たとえば、/etc/ipf/myorg.ipf.conf をパケットフィルタリングのルールセットの場所にします。
```
# svccfg -s ipfilter:default \
setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
```

パケットフィルタリング規則セットを作成します。
パケットのフィルタリングについては、IP フィルタのパケットのフィルタリング機能の使用を参照してください。構成ファイルの例については、IP フィルタの構成ファイルの例および /etc/nwam/loc/NoNet/ipf.conf ファイルを参照してください。
注 - 指定したポリシーファイルが空の場合、フィルタリングは行なわれません。空のパケットフィルタリングファイルは、次のような規則セットを含むことと同じです。
```
pass in all
pass out all
```
(オプション) IP フィルタのネットワークアドレス変換 (NAT) 構成ファイルを作成します。
NAT 経由のパケットをフィルタリングするには、デフォルトのファイル名 /etc/ipf/ipnat.conf で NAT 規則のファイルを作成します。別の名前を使用する場合は、次のように config/ipnat_config_file サービスプロパティーの値を変更する必要があります。
```
# svccfg -s ipfilter:default \
setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
```
NAT については、IP フィルタの NAT 機能の使用を参照してください。
(オプション) アドレスプール構成ファイルを作成します。
アドレスのグループを単一のアドレスプールとして参照するには、デフォルトのファイル名 /etc/ipf/ippool.conf でプールのファイルを作成します。別の名前を使用する場合は、次のように config/ippool_config_file サービスプロパティーの値を変更する必要があります。
```
# svccfg -s ipfilter:default \
setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
```
アドレスプールには、IPv4 アドレスと IPv6 アドレスの任意の組み合わせを含めることができます。アドレスプールの詳細については、IP フィルタのアドレスプール機能の使用を参照してください。
(オプション) ループバックトラフィックのフィルタリングを有効にします。
システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。ループバックフィルタリングを有効にする方法を参照してください。ゾーンに適用する規則セットも定義する必要があります。
(オプション) 断片化されたパケットの再構築を無効にします。
デフォルトで、フラグメントは、IP フィルタで再構築されます。デフォルトを変更するには、パケット再構築を無効にする方法を参照してください。