如何启用 Oracle Solaris ： IP 过滤器

使用此过程可在运行 Solaris 10 7/07 OS 或更高版本的系统上启用 Oracle Solaris ： IP 过滤器。如果系统运行的 Oracle Solaris 10 发行版早于 Solaris 10 7/07 OS 并且要启用 Oracle Solaris ： IP 过滤器，请参见使用 pfil 模块。

1. 承担拥有 IP 过滤器管理权限配置文件的角色，或者成为超级用户。

   可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。

2. 创建包过滤规则集。

   包过滤规则集包含由 Oracle Solaris ： IP 过滤器使用的包过滤规则。如果希望在引导时装入包过滤规则，请编辑 /etc/ipf/ipf.conf 文件以实现 IPv4 包过滤。对于 IPv6 包过滤规则，请使用 /etc/ipf/ipf6.conf 文件。如果不希望在引导时装入包过滤规则，请将这些规则放置在所选的文件中，然后手动激活包过滤。有关包过滤的信息，请参见使用 Oracle Solaris ： IP 过滤器的包过滤功能。有关使用配置文件的信息，请参见创建和编辑 Oracle Solaris ： IP 过滤器配置文件。

3. （可选）创建网络地址转换 (network address translation, NAT) 配置文件。

   ---

   注 –

   网络地址转换 (Network Address Translation, NAT) 不支持 IPv6。

   ---

   如果要使用网络地址转换，请创建 ipnat.conf 文件。如果希望在引导时装入 NAT 规则，请创建一个名为 /etc/ipf/ipnat.conf 的文件，在其中放置 NAT 规则。如果不希望在引导时装入 NAT 规则，请将 ipnat.conf 文件放置在所选的位置中，然后手动激活 NAT 规则。

   有关 NAT 的更多信息，请参见使用 Oracle Solaris ： IP 过滤器的 NAT 功能。

4. （可选）创建地址池配置文件。

   如果要将一组地址作为单个地址池引用，请创建 ipool.conf 文件。如果希望在引导时装入地址池配置文件，请创建一个名为 /etc/ipf/ippool.conf 的文件，在其中放置地址池。如果不希望在引导时装入地址池配置文件，请将 ippool.conf 文件放置在所选的位置中，然后手动激活这些规则。

   一个地址池可以只包含 IPv4 地址和 IPv6 地址中的一种，也可以同时包含这两种地址。

   有关地址池的更多信息，请参见使用 Oracle Solaris ： IP 过滤器的地址池功能。

5. （可选）启用回送流量的过滤。

   如果打算过滤系统中配置的区域之间的流量，则必须启用回送过滤。请参见如何启用回送过滤。还要确保定义了应用于这些区域的相应规则集。

6. 激活 Oracle Solaris ： IP 过滤器。

   # svcadm enable network/ipfilter