Configuration d'IP Filter

Procédez comme suit pour configurer la fonction IP Filter du logiciel Oracle Solaris sur le cluster global.

Pour plus d'informations sur la fonction IP Filter, reportez-vous au Chapitre 6, Pare-feu IP Filter dans Oracle Solaris du manuel Sécurisation du réseau dans Oracle Solaris 11.3.

Avant de commencer

Lisez les directives et les restrictions à suivre lorsque vous configurez IP Filter dans un cluster. Reportez-vous à la puce "IP Filter" de la section Configuration et restrictions des fonctions du système d'exploitation Oracle Solaris.

1. Prenez le rôle root.
2. Ajoutez des règles de filtre au fichier /etc/ipf/ipf.conf sur tous les noeuds concernés.

   Tenez compte de la configuration requise et des directives suivantes lorsque vous ajoutez des règles de filtre aux noeuds Oracle Solaris Cluster.

   • Dans le fichier ipf.conf sur chaque noeud, ajoutez des règles autorisant explicitement le trafic des interconnexions de cluster à transiter sans filtrage. Les règles qui ne sont pas spécifiques à une interface sont appliquées à toutes les interfaces, connexions de cluster comprises. Veillez à ce que le trafic sur ces interfaces ne soit pas bloqué par mégarde. Si le trafic des interconnexions est bloqué, la configuration du filtre IP interfère avec les opérations des infrastructures et des protocoles de transfert du cluster.

     Imaginons, par exemple, que les règles suivantes sont utilisées :

     # Default block TCP/UDP unless some later rule overrides
     block return-rst in proto tcp/udp from any to any
     
     # Default block ping unless some later rule overrides
     block return-rst in proto icmp all

     Pour débloquer le trafic d'interconnexions de cluster, ajoutez les règles suivantes. Les sous-réseaux utilisés sont à titre d'exemple uniquement. Dérivez les sous-réseaux à utiliser à l'aide de la commande ifconfig show-addr | grep interface.

     # Unblock cluster traffic on 172.16.0.128/25 subnet (physical interconnect)
     pass in quick proto tcp/udp from 172.16.0.128/25 to any
     pass out quick proto tcp/udp from 172.16.0.128/25 to any
     
     # Unblock cluster traffic on 172.16.1.0/25 subnet (physical interconnect)
     pass in quick proto tcp/udp from 172.16.1.0/25 to any
     pass out quick proto tcp/udp from 172.16.1.0/25 to any
     
     # Unblock cluster traffic on 172.16.4.0/23 (clprivnet0 subnet)
     pass in quick proto tcp/udp from 172.16.4.0/23 to any
     pass out quick proto tcp/udp from 172.16.4.0/23 to any

   • Vous pouvez spécifier soit le nom de l'adaptateur, soit l'adresse IP d'un réseau privé de clusters. Par exemple, la règle suivante spécifie un réseau privé de clusters par le nom de son adaptateur :

     # Allow all traffic on cluster private networks.
     pass in quick on net1 all
     …

   • Le logiciel Oracle Solaris Cluster bascule les adresses réseau d'un noeud à l'autre. Aucune procédure ni aucun code n'est nécessaire lors du basculement.

   • Toutes les règles de filtrage indiquant des adresses IP de nom d'hôte logique et des ressources d'adresses partagées doivent être identiques sur tous les noeuds du cluster.

   • Les règles sur un noeud de secours indiqueront une adresse IP non existante. Cette règle fait toujours partie du jeu de règles actif du filtre IP et entre en vigueur lorsque le noeud reçoit l'adresse après un basculement.

   • Toutes les règles de filtrage doivent être identiques pour tous les NIC appartenant au même groupe IPMP. En d'autres termes, si une règle est spécifique à une interface, elle doit également exister pour toutes les autres interfaces appartenant au même groupe IPMP.

   Pour plus d'informations sur les règles IP Filter, reportez-vous à la page de manuel ipf(4).

3. Activez le service SMF ipfilter.

   phys-schost# svcadm enable /network/ipfilter:default

Etapes suivantes

Configurez le logiciel Oracle Solaris Cluster sur les noeuds du cluster. Passez à la section Etablissement d'un nouveau cluster global ou d'un nouveau noeud de cluster global.