Configurer le pare-feu IPF sur OmniOS

La configuration d'IPF fait l'objet de plusieurs articles sur le blog, j'indique donc ici simplement un exemple de fichier de règles.
Pour rappel, avec IFP, les règles de blocages doivent être placées au début, et celles qui autorisent le passage d'un flux après.

Le fichier de règle doit être créé ici : /etc/ipf/ipf.conf
(remplacer e1000g0 par le nom de votre interface).

Fichier de configuration IPF

### IPFILTER CONFIGURATION ###

# Block all incoming traffic by default
block in log all

# Block all outgoing traffic by default
block out log all

# Block packets with suspicious IP options
block in log quick from any to any with ipopts

# Block malformed TCP packets
block in log quick proto tcp from any to any with short

# Allow traffic on the loopback interface
pass in quick on lo0 all
pass out quick on lo0 all

# Allow and track stateful outgoing traffic
pass out quick all keep state

# Allow incoming connections that match an already established outgoing connection
pass in quick all keep state

# Explicitly allow certain incoming connections if necessary (optional)
pass in quick proto tcp from any to any port = 22 keep state # SSH
#pass in quick proto tcp from any to any port = 80 keep state # HTTP
#pass in quick proto tcp from any to any port = 443 keep state # HTTPS

Démarrer ipfilter

Une fois fait, démarrer ipfilter :

svcadm enable svc:/network/ipfilter:default

Cette commande ne chargera pas notre fichier de règles.
Tout d'abord nous devons supprimer les règles qui vont se charger par défaut :

Voir les règles chargées par défaut

ipfstat -io

Supprimer les règles par défaut

Si des règles sont déjà présentes (genre les ICMP ...) les supprimer :

ipf -Fa

Charger le fichier de règles

Enfin, charger notre fichier de règles :

ipf -f /etc/ipf/ipf.conf

Vérifier les règles chargées

Revérifier si nos règles se sont bien chargées sans les règles par défaut :

ipfstat -io