Usamos cookies propias y de terceros para ayudarte en tu navegación. Si continuas navegando consideramos que aceptas el uso de cookies. OK

domingo, 29 de septiembre de 2013

Configurar ipfilter en Solaris 10 - 11


En la anterior entrada Enrutamiento en solaris11 vimos como configurar un servidor con Solaris para que funcione como router entre dos redes. Muchas veces además de el enrutamiento, tenemos la necesidad de realizar un filtro de las conexiones, hacer redirecciones de puertos o simplemente NAT. Para esto debemos utilizar ipfilter. Dicho servicio viene incorporado en Solaris, por lo cual solo debemos configurarlo y habilitarlo. Antes de entrar a la configuración de las reglas vemos los archivos involucrados y opciones del los comandos.

Los archivos utilizados para las reglas son: /etc/ipf/ipf.conf (se colocarán las reglas de filtro) y el /etc/ipf/ipnat.conf (se agregarán las reglas que permitirán hacer redireción de puertos y NAT).

Algunos comandos:

    ipf - Lee las reglas de un archivo y las agrega a la lista de filtrado activa. También puede ser usado para hacer un flush de las reglas o borrar una específica.
          Ejemplo: # ipf –F i o   (borra todas las reglas cargadas en memoria.)
                         # ipf –f /etc/ipf/ipf.conf (Carga las reglas escritas en ese archivo)

    ipfstat - Interroga al kernel sobre estadíticas de filtrado.

    ipnat - Lee las reglas de un archivo y las agrega a la lista de reglas NAT. También puede ser usado para borrar una regla NAT específica.

 Veamos entonces la sintaxis para las reglas de filtro:

ACTION IN-OUT OPT SELEC PROTO SRC,DST OBJ PORT TCP_FLAG STATE

ACTION = block | pass
IN-OUT = in | out
OPT = log | quick | on interface-name
SELEC = proto val | src/dest IP | port = num | flags flag-val
PROTO = tcp/udp | udp | tcp | icmp
SRC,DST = all | from object to object
OBJ = IP address | any
PORT = port number
TCP_FLAG = S
STATE = keep state

Ejemplos:

- Permitir el paso de todo el tráfico proveniente de la IP: 192.168.1.200 con destino cualquiera.  La opción "quick" le indíca que cuando el paquete haga mach con la regla, no se sigan macheando las siguientes.
pass in quick from 192.168.1.200 to any

- Permitir el paso de todo el tráfico proveniente de la 192.168.1.1 con destino 192.168.1.200.
pass in quick from 192.168.1.1 to 192.168.1.200 

- Permite RDP desde 192.168.1.201 a 192.168.2.5
pass in quick proto tcp from 192.168.1.201 to 192.168.2.5 port = 3389 (Permite la ida)
pass in quick from 192.168.2.5 to 192.168.1.201 (Permite a vuelta)
(La ida y vuelta se coloca cuando tratamos de pasar de una red a otra)

- Permite trafico de ida y vuelta desde 192.168.1.201 a 192.168.2.2
pass in quick from any to 192.168.1.201 pass in quick from any to 192.168.2.2

- Permite ssh desde 192.168.1.201 con destino  192.168.1.200
pass in quick proto tcp from 192.168.1.201 to 192.168.1.200 port = 22

- Bloquea todo el tráfico (Colocamos una regla al final que bloquee todo lo que no se pudo machear con alguna regla)
 block in from any to any  

Ejemplo NAT y redicección:
- Redirige todo lo que llega al puerto 80 de  192.168.1.200 al puerto 80 de 192.168.2.2
rdr e1000g1 192.168.1.200 port 80 -> 192.168.2.2 port 80

- Habilita el NAT sobre la red de origen 172.20.0.0/16 sobre la interfaz externa net0.
map net0 172.20.0.0/16 -> 0/32

En la siguiente publicación veremos algunas reglas mas avanzadas de filtrado.

lunes, 23 de septiembre de 2013

Enrutamiento en Solaris 11

Una de las ventajas que destacamos las personas que usamos Unix/Linux es la flexibilidad en cuando a la configuración de red. En este caso vamos a ver como se configura un router en Solaris 11 para que haga de nexo entre dos redes diferentes. Solamente son tres pasos:
1- Configurar las interfaces del Solaris 11 que vamos a utilizar como router. ( Si no saben como configurar la red en Solaris 11 puenden entrar aquí Configurar la red en Solaris 11 )
2- Habilitar el IP Forwarding
3- Configurar los clientes para que su default gateway apunte al Solaris 11 router. (vamos a hacer de cuenta que solo tenemos un defautl gateway en nuestra red).
Nuestro entorno es el siguiente. (Ver foto)



Cliente 1:
Solaris11 2
IP:172.20.80.2
DG:172.20.80.1

Cliente 2:
Solaris10
IP:192.168.30.2
DG:192.168.30.1

Router:
Solaris11
Interfaz 1:

   IP:172.20.80.1
Interfaz 2:
   IP:192.168.30.1

Una vez configuradas las interfaces de red en cada máquina hacemos pruebas tirando ping a la propia interfaz y a la interfaz de nuestro router.
Imagen Cliente 1:
Cliente dentro de la red 172.20.80.0/16. En la imagen se ve como puede hacer ping a su propia interfaz y a
las dos interfaces del router (la ubicada en la su propia red 172.20.80.1 y la ubicada en la otra red 192.168.30.1).
Notese que si bien el ping alcanza las dos interfaces, no se puede llegar a una máquina dentro de la 
otra red ( 192.168.30.2 ).























Imagen Router:
Captura de las respuestas del ping a ambas redes.



















Una vez que tenemos comprobado que la conectividad básica funciona abrimos la consola del router y habilitamos el ipv4-forwarding.
Primero chequeamos como esta el servicio: Ejecutamos
#routeadm (ver foto)
ipv4-forwarding deshabilitado.

















Podemos ver que el ipv4-forwarding se encuentra en estado "disabled". Entonces lo habilitamos con el comando #routeadm -e ipv4-forwarding y luego ejecutamos #routeadm -u para actualizar.
ipv4-forwarding habilitado.





















Eso es todo. Comprobamos ahora que desde una máquina en una red llegamos a otra máquina dispuesta en otra red.

Vemos como ahora si podemos hacer ping a la 192.168.30.2 desde la otra red.





















En estos tipos de trabajos es bueno ir paso a paso comprobando todo.  De esta manera vamos avanzando en la configuración asegurandonos que todo lo realizado funciona correctamente.

miércoles, 11 de septiembre de 2013

Configurar Servidor DNS en Solaris - Bind en Solaris


Configurar un servidor DNS en Solaris es muy simple ya que  traen incorporado alguna versión del BIND. Solo hay que crear la configuración apropiada.
En Solaris 10, solo hay que configurar y luego levantar el servicio /network/dns/server. Para Solaris 11 se debe instalar la versión de Bind desde el repositorio mediante el comando  #pkg install  pkg:/service/network/dns/bind@9.6.3.7.2-0.175.1.0.0.24.0 o la versión que esté disponible.
Instalando Bind en Solaris 11 desde el repositorio online.
Para que BIND funcione solo hace falta generar 5 archivos donde tendremos la configuración de la zona y demás datos. Los archivos son: 
/etc/named.conf ( Se guarda la configuración del Bind )
/var/named/named.root ( Contiene la información sobre los root servers ftp://ftp.rs.internic.net/domain/named.root )
/var/named/forward.zone ( Zona directa )
/var/named/reverse.rzone ( Zona inversa )
/var/named/loop.back ( Zona loop )

Veamos un ejemplo de configuración:
La zona será "prueba.com" y en la red 172.20.0.0/16.

/etc/named.conf

options {
DIRECTORY "/var/named";      # Directorio que contendrá los archivos de configuración
};
# Con esto definimos una ACL que permite el acceso a la red 172.20.0.0
acl "nets"{            
{172.20.0.0/16;};
};
# Definimos el archivo que contendrá los servidores root de internet.
zone "." in {
type hint;
file "named.root";
};
# Definimos el archivo que contendrá la zona directa del dominio.
zone "prueba.com" in {
type master;
file "forward.zone";
# Esta linea se agrega si se quiere que el servidor dns permita las actualizaciones dinámicas por parte de los clientes.
allow-update { nets; };            
allow-transfer { nets; };
};
file "named.root";
};
# Definimos el archivo que contendrá la zona inversa del dominio.
 zone "20.172.in-addr.arpa" in {
type master;
file "reverse.rzone";
allow-update { nets; };
};
file "named.root";
};
# Definimos el archivo que contendrá la zona loopback del dominio.

zone "0.0.127.in-addr.arpa" in {
type master;
file "loop.back";
};


/var/named/forward.zone

$TTL 86400
;me} {ttl} Class SOA Origin Postmaster
;----------------------------------------------------------------------------------
@ IN SOA nodoA.prueba.com root. nodoA.prueba.com (
2005010101 ; Serial
3600 ; Refresh (1 Hour)
1800 ; Retry (30 Minutes)
6048000 ; Expire (1 Week)
86400 ) ; Minimum (24 Hours)

;{name} {ttl} Class NS Nameserver Name
;------------------------------------------------------
prueba.com.  IN      NS      NodoA.prueba.com.
;
;{name} {ttl} Class A IP Address
;-------------------------------------------------
#Aquí creamos las asociaciones que necesitamos. 
NodoA   IN      A       172.20.3.178
Firewall        IN      A       172.20.3.254
NodoB   IN      A       172.20.3.185
localhost       A       127.0.0.1
;
;{name} {ttl} Class CNAME Canonical Name
;-------------------------------------------------------
;router IN CNAME sys11
;dns IN CNAME sys12


/var/named/reverse.rzone

$TTL 86400
;
;{name} {ttl} Class SOA Origin Postmaster
;----------------------------------------------------------------------------------
@ IN SOA NodoA.prueba.com.   root.localhost. (
2005010101 ; Serial
3600 ; Refresh (1 Hour)
1800 ; Retry (30 Minutes)
6048000 ; Expire (1 Week)
86400 ) ; Minimum (24 Hours)
;
;{name} {ttl} Class NS Nameserver Name
;------------------------------------------------------
@        IN      NS      NodoA.prueba.com.
;
#Aquí creamos las asociaciones que necesitamos. 
;{name} {ttl} Class PTR Real Name
;------------------------------------------------
1       IN      PTR     NodoA.prueba.com.
2       IN      PTR     Firewall.prueba.com.
3       IN      PTR     NodoB.prueba.com.


/var/named/loop.back

$TTL 86400
;me} {ttl} Class SOA Origin Postmaster
;----------------------------------------------------------------------------------
@ IN SOA nodoA.prueba.com.  root.nodoA.prueba.com. (
2005010101 ; Serial
3600 ; Refresh (1 Hour)
1800 ; Retry (30 Minutes)
6048000 ; Expire (1 Week)
86400 ) ; Minimum (24 Hours)
;
;{name} {ttl} Class NS Nameserver Name
;------------------------------------------------------
@        IN        NS      NodoA.prueba.com.
;
;{name} {ttl} Class PTR Real Name
;------------------------------------------------
1 IN PTR localhost.

Por último buscamos en ftp://ftp.rs.internic.net/domain/named.root y copiamos toda la información tal cual está y lo pegamos dentro de /var/named/named.root.


/var/named/named.root

;       This file holds the information on root name servers needed to
;       initialize cache of Internet domain name servers
;       (e.g. reference this file in the "cache  .  <file>"
;       configuration file of BIND domain name servers).
;
;       This file is made available by InterNIC 
;       under anonymous FTP as
;           file                /domain/named.cache
;           on server           FTP.INTERNIC.NET
;       -OR-                    RS.INTERNIC.NET
;
;       last update:    Jan 3, 2013
;       related version of root zone:   2013010300
;
; formerly NS.INTERNIC.NET
;
.                        3600000  IN  NS    A.ROOT-SERVERS.NET.
A.ROOT-SERVERS.NET.      3600000      A     198.41.0.4
A.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:BA3E::2:30
;
; FORMERLY NS1.ISI.EDU
;
.                        3600000      NS    B.ROOT-SERVERS.NET.
B.ROOT-SERVERS.NET.      3600000      A     192.228.79.201
;
; FORMERLY C.PSI.NET
;
.                        3600000      NS    C.ROOT-SERVERS.NET.
C.ROOT-SERVERS.NET.      3600000      A     192.33.4.12
;
; FORMERLY TERP.UMD.EDU
;
.                        3600000      NS    D.ROOT-SERVERS.NET.
D.ROOT-SERVERS.NET.      3600000      A     199.7.91.13
D.ROOT-SERVERS.NET.	 3600000      AAAA  2001:500:2D::D
;
; FORMERLY NS.NASA.GOV
;
.                        3600000      NS    E.ROOT-SERVERS.NET.
E.ROOT-SERVERS.NET.      3600000      A     192.203.230.10
;
; FORMERLY NS.ISC.ORG
;
.                        3600000      NS    F.ROOT-SERVERS.NET.
F.ROOT-SERVERS.NET.      3600000      A     192.5.5.241
F.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:2F::F
;
; FORMERLY NS.NIC.DDN.MIL
;
.                        3600000      NS    G.ROOT-SERVERS.NET.
G.ROOT-SERVERS.NET.      3600000      A     192.112.36.4
;
; FORMERLY AOS.ARL.ARMY.MIL
;
.                        3600000      NS    H.ROOT-SERVERS.NET.
H.ROOT-SERVERS.NET.      3600000      A     128.63.2.53
H.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:1::803F:235
;
; FORMERLY NIC.NORDU.NET
;
.                        3600000      NS    I.ROOT-SERVERS.NET.
I.ROOT-SERVERS.NET.      3600000      A     192.36.148.17
I.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FE::53
;
; OPERATED BY VERISIGN, INC.
;
.                        3600000      NS    J.ROOT-SERVERS.NET.
J.ROOT-SERVERS.NET.      3600000      A     192.58.128.30
J.ROOT-SERVERS.NET.      3600000      AAAA  2001:503:C27::2:30
;
; OPERATED BY RIPE NCC
;
.                        3600000      NS    K.ROOT-SERVERS.NET.
K.ROOT-SERVERS.NET.      3600000      A     193.0.14.129
K.ROOT-SERVERS.NET.      3600000      AAAA  2001:7FD::1
;
; OPERATED BY ICANN
;
.                        3600000      NS    L.ROOT-SERVERS.NET.
L.ROOT-SERVERS.NET.      3600000      A     199.7.83.42
L.ROOT-SERVERS.NET.      3600000      AAAA  2001:500:3::42
;
; OPERATED BY WIDE
;
.                        3600000      NS    M.ROOT-SERVERS.NET.
M.ROOT-SERVERS.NET.      3600000      A     202.12.27.33
M.ROOT-SERVERS.NET.      3600000      AAAA  2001:DC3::35
; End of File

Eso sería todo, solo deberiamos reiniciar el servicio de BIND. Para chequear que todo haya salido bien primero nos aseguramos que el servicio inicie correctamente y luego podemos conectarnos al propio servidor mediante nslookup y le pedimos que nos resuelva algo.

lunes, 9 de septiembre de 2013

Configuración de red en Solaris 11

Una de las diferencias más marcadas de Solaris 11 respecto a su antecesor fue la forma en la que se configura la red.Oracle Solaris 11 utiliza una configuración de red basada en el perfil, que se compone de dos modos de configuración de red: manual (fijo) y automático (reactivo). Según el modo de configuración de red que seleccione durante la instalación, se activa el perfil de configuración de red (NCP, Network Configuration Profile) DefaultFixed o el NCP Automatic en el sistema. Si el perfil de configuración de red DefaultFixed está activo, la red se configura manualmente mediante los comandos dladm e ipadm. Si el perfil de configuración de red Automatic o un perfil de configuración de red definido por el usuario que haya creado anteriormente está activo, los comandos netcfg y netadm se utilizan para crear y gestionar la configuración de red.
Hay dos tipos principales de perfil: el perfil de configuración de red (NCP) y el perfil de ubicación. Un NCP especifica la configuración de interfaces y enlaces de red, por ejemplo, direcciones IP. El perfil de ubicación gestiona la configuración de red de todo el sistema; por ejemplo, de los servicios de nombres y los valores de IPfilter. Al menos un NCP y un perfil de ubicación deben estar activos en el sistema en todo momento cuando esté usando la configuración automática de la red.
En esta imagen se ve como están activado el NCP "prueba" y el LOC "prueba" además de las NCU que se utilizan dentro del los NCP.

El NCP Automatic es un perfil definido por el sistema que no se puede modificar ni suprimir. Las ubicaciones definidas por el sistema son Automatic y NoNet. A diferencia de los NCP definidos por el sistema, las ubicaciones definidas por el sistema se pueden modificar después de que se activa el perfil en un sistema por primera vez.


Configuración Manual:
Si va a configurar manualmente la red, tenga en cuenta los siguientes aspectos principales:

Para configurar manualmente la red mediante los comandos dladm y ipadm, el NCP DefaultFixed debe estar activo. Utilice el comando netadm para verificar qué NCP está activo actualmente en el sistema. Ej: #netadm list
Si no está activado lo puede activar mediante el comando #netadm  enable -p ncp DefaultFixed 
 La configuración de red persistente ahora se administra mediante SMF, no editando los siguientes archivos:
        /etc/defaultdomain
        /etc/dhcp.*
        /etc/hostname.*
        /etc/hostname.ip*.tun*
        /etc/nodename
        /etc/nsswitch.conf
Para  fijar la IP, primero se ejecuta el comando dladm para ver las interfaces conectadas. Este dato se utiliza para cuando se ejecute el comando ipadm.
Salida del comando dladm.

Luego se crea la direccion de red fija:
# ipadm create-ip net0
# ipadm create-addr -T static -a local=10.9.8.7/24 net0/addr

Para configurar la interfaz por DHCP:
# ipadm create-ip net0
# ipadm create-addr -T dhcp net0/addr

Una vez realizado esto se modifican los parametros en los servicios. Ej:
# svccfg
svc:> select dns/client
svc:/network/dns/client> setprop config/search = astring: \
("us.company.com" "eu.company.com" "companya.com" "companyb.com" "company.com" )
svc:/network/dns/client> setprop config/nameserver = net_address: \
( 138.2.202.15 138.2.202.25 )
svc:/network/dns/client> select dns/client:default
svc:/network/dns/client:default> refresh
svc:/network/dns/client:default> validate
svc:/network/dns/client:default> select name-service/switch
svc:/system/name-service/switch> setprop config/host = astring: "files dns"
svc:/system/name-service/switch> select system/name-service/switch:default
svc:/system/name-service/switch:default> refresh
svc:/system/name-service/switch:default> validate
svc:/system/name-service/switch:default>
# svcadm enable dns/client
# svcadm refresh name-service/switch

Ahora vemos si los cambios se realizaron:

# grep host /etc/nsswitch.conf
hosts:  files dns

# cat /etc/resolv.conf

# opyright (c) 2011, Oracle and/or its affiliates. All rights reserved.
#
#
# _AUTOGENERATED_FROM_SMF_V1_
#
# WARNING: THIS FILE GENERATED FROM SMF DATA.
#   DO NOT EDIT THIS FILE.  EDITS WILL BE LOST.
# See resolv.conf(4) for details.

search    us.company.com eu.company.com companya.com companyb.com company.com
nameserver    138.2.202.15
nameserver    138.2.202.25

Otro ejemplo sería:
Definir múltiples opciones de /etc/resolv.conf.
# svccg
svc:> select /network/dns/client
svc:/network/dns/client> setprop config/options = "ndots:2,retrans:3,retry:1"
svc:/network/dns/client> listprop config/options
config/options astring     ndots:2,retrans:3,retry:1

# svcadm refresh dns/client
# grep options /etc/resolv.conf
options ndots:2,retrans:3,retry:1 

Perfecto!!! Ya sabemos como configurar manualmente la red en Solaris 11. 


Configuración Automática:

La configuración automática de la red se compone de un conjunto de propiedades que determinan el modo en que se configura la red. Se configuran mediante NCP, NCU y LOC.
Los LOC son perfiles de locación o ubicación. Si bien las LOC no tiene  la configuración de red (ya que la tienen los NCP), las LOC tienen el resto de configuración de red, como por ejemplo, el servicio de nombres que se utiliza, cuales son los servidores, las reglas ipfilter e ipnat, etc. HAY QUE TENER EN CUENTA QUE SI, POR EJEMPLO, EN UN LOC TENEMOS REGLAS IPFILTER Y ACTIVAMOS OTRO LOC LAS REGLAS SE BORRAN DE LA CACHE DE FORMA AUTOMATICA.
Un NCP configura las interfaces y los enlaces de red mediante objetos de configuración individuales que se denominan unidades de configuración de red (NCU, Network Configuration Unit). Cada NCU representa un enlace físico o una interfaz que incluye las propiedades que definen la configuración para ese enlace o esa interfaz concretos, como se muestra en la salida del comando netcfg list, en el siguiente ejemplo:
netcfg> select ncp myncp
netcfg:ncp:myncp:ncu:nge0> list
ncu:nge0
    type                interface
    class               ip
    parent              "myncp"
    enabled             true
    ip-version          ipv4,ipv6
    ipv4-addrsrc        dhcp
    ipv6-addrsrc        dhcp,autoconf

Los NCP definidos por el usuario y las ubicaciones se crean mediante el comando netcfg, ya sea en el modo de la línea de comandos o de manera interactiva. Por ejemplo, se crearía un nuevo NCP denominado myncp mediante el comando netcfg de forma interactiva, de la siguiente manera:
# netcfg
netcfg> create ncp myncp

Veamos entonces un ejemplo práctico:

Configuración de una dirección IP estática para un NCP existente

En el ejemplo siguiente, el comando netcfg se utiliza interactivamente para seleccionar el NCP recién creado, myncp y, luego, una dirección IP estática se configura para ese NCP.

netcfg> select ncp myncp
netcfg:ncp:myncp:ncu:nge0> list
ncu:nge0
    type                interface
    class               ip
    parent              "myncp"
    enabled             true
    ip-version          ipv4,ipv6
    ipv4-addrsrc        dhcp
    ipv6-addrsrc        dhcp,autoconf
netcfg:ncp:myncp:ncu:nge0> set ipv4-addrsrc=static
netcfg:ncp:myncp:ncu:nge0> set ipv4-addr=1.2.3.4/24
netcfg:ncp:myncp:ncu:nge0> set ipv4-default-route=1.2.3.1
netcfg:ncp:myncp:ncu:nge0> end
Committed changes
netcfg:ncp:myncp>

Habilitación de un NCP

En el ejemplo siguiente, se habilita un nuevo NCP definido por el usuario denominado myncp con el comando netadm.
#netadm enable -p myncp
Enabling ncp 'myncp'

Configuración de los servicios de nombres en el modo automático

La configuración de red de todo el sistema, como la configuración de servicios de nombres, se gestiona en el perfil de ubicación. Las propiedades se configuran mediante el comando netcfg. El perfil de ubicación automática permite al sistema configurar automáticamente los servicios de nombres. El perfil de ubicación automática se utiliza para configurar el DNS por medio de DHCP únicamente. Tenga en cuenta que la ubicación automática difiere del NCP automático, que configura enlaces e interfaces IP. Antes de configurar las propiedades del servicio de nombres en una ubicación, es necesario actualizar el archivo al que hará referencia la propiedad nameservices-config-file de la ubicación especificada. Este archivo se puede almacenar en cualquier ubicación del sistema. Sin embargo, no utilice el nombre de archivo /etc/nsswitch.conf, ya que este archivo se sobrescribe.

Por ejemplo, puede crear un nuevo perfil de ubicación y, a continuación, configurar NIS como se indica a continuación:
$ netcfg
netcfg> create loc officeloc
Created loc 'officeloc'.  Walking properties ...
activation-mode (manual) [manual|conditional-any|conditional-all]> conditional-all
conditions> advertised-domain contains oracle.com
nameservices (dns) [dns|files|nis|ldap]> nis
nameservices-config-file ("/etc/nsswitch.dns")> /etc/nsswitch.nis
nis-nameservice-configsrc [manual|dhcp]> dhcp
nfsv4-domain>
ipfilter-config-file>
ipfilter-v6-config-file>
ipnat-config-file>
ippool-config-file>
ike-config-file>
ipsecpolicy-config-file>
netcfg:loc:officeloc> end
Committed changes
netcfg>

En el siguiente ejemplo, se ha configurado NIS para una ubicación existente.
$ netcfg> select loc origloc
netcfg:loc:origloc> set nameservices=dns,nis
netcfg:loc:origloc> set nis-nameservice-configsrc=manual
netcfg:loc:origloc> set nis-nameservice-servers="1.2.3.38.1.3.3.36"
netcfg:loc:origloc> set default-domain="org.company.com"
netcfg:loc:origloc> set nameservices-config-file="/etc/nsswitch.dns"
netcfg:loc:origloc> end
Committed changes
netcfg> exit

En resumen, primero se de crear el LOC, luego el NCP y luego crear los NCU para ese NCP.

Como conclusión podemos decir que a simple vista parace más complicado pero ofrece una gran flexibilidad y velocidad a la hora de realizar cambios, ya que solo debemos activar o desactivar el perfil que nos interesa.

Pueden ver los comandos utilizados en Oracle Solaris 11 para la configuración de red en este post http://netconredes.blogspot.com.ar/2013/09/comandos-que-se-utilizan-para-la.html