自動的に構成されたネットワーク構成の IP フィルタポリシーを変更するか、または手動で構成されたネットワークで IP フィルタを使用するには、構成ファイルを作成し、これらのファイルについてサービスに通知し、サービスを有効にします。
始める前に
IP Filter Management 権利プロファイルが割り当てられている管理者になる必要があります。詳細は、Oracle Solaris 11.3 でのユーザーとプロセスのセキュリティー保護 の 割り当てられている管理権利の使用を参照してください。
このファイルには、パケットフィルタリング規則セットが含まれます。
# svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
たとえば、/etc/ipf/myorg.ipf.conf をパケットフィルタリングのルールセットの場所にします。
# svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
パケットのフィルタリングについては、IP フィルタのパケットのフィルタリング機能の使用を参照してください。構成ファイルの例については、IP フィルタの構成ファイルの例および /etc/nwam/loc/NoNet/ipf.conf ファイルを参照してください。
pass in all pass out all
NAT 経由のパケットをフィルタリングするには、デフォルトのファイル名 /etc/ipf/ipnat.conf で NAT 規則のファイルを作成します。別の名前を使用する場合は、次のように config/ipnat_config_file サービスプロパティーの値を変更する必要があります。
# svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
NAT については、IP フィルタの NAT 機能の使用を参照してください。
アドレスのグループを単一のアドレスプールとして参照するには、デフォルトのファイル名 /etc/ipf/ippool.conf でプールのファイルを作成します。別の名前を使用する場合は、次のように config/ippool_config_file サービスプロパティーの値を変更する必要があります。
# svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
アドレスプールには、IPv4 アドレスと IPv6 アドレスの任意の組み合わせを含めることができます。アドレスプールの詳細については、IP フィルタのアドレスプール機能の使用を参照してください。
システムに構成されているゾーン間のトラフィックのフィルタリングを行う場合は、ループバックフィルタリングを有効にする必要があります。ループバックフィルタリングを有効にする方法を参照してください。ゾーンに適用する規則セットも定義する必要があります。
デフォルトで、フラグメントは、IP フィルタで再構築されます。デフォルトを変更するには、パケット再構築を無効にする方法を参照してください。