以下任务列表提供了与配置 Oracle Solaris : IP 过滤器关联的过程。
表 26–1 配置 Oracle Solaris : IP 过滤器(任务列表)
任务 |
说明 |
参考 |
---|---|---|
最初启用 Oracle Solaris : IP 过滤器。 |
缺省情况下不启用 Oracle Solaris : IP 过滤器。必须手动启用它,或者使用 /etc/ipf/ 目录中的配置文件并重新引导系统。从 Solaris 10 7/07 发行版开始,包过滤器钩子替代 pfil 模块以启用 Oracle Solaris : IP 过滤器。 | |
重新启用 Oracle Solaris : IP 过滤器 |
如果 Oracle Solaris : IP 过滤器被取消激活或禁用,则可以通过重新引导系统或通过使用 ipf 命令重新启用 Oracle Solaris : IP 过滤器。 | |
启用回送过滤 |
作为一个选项,您可以启用回送过滤,例如,过滤区域之间的流量。 |
使用此过程可在运行 Solaris 10 7/07 OS 或更高版本的系统上启用 Oracle Solaris : IP 过滤器。如果系统运行的 Oracle Solaris 10 发行版早于 Solaris 10 7/07 OS 并且要启用 Oracle Solaris : IP 过滤器,请参见使用 pfil 模块。
承担拥有 IP 过滤器管理权限配置文件的角色,或者成为超级用户。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
创建包过滤规则集。
包过滤规则集包含由 Oracle Solaris : IP 过滤器使用的包过滤规则。如果希望在引导时装入包过滤规则,请编辑 /etc/ipf/ipf.conf 文件以实现 IPv4 包过滤。对于 IPv6 包过滤规则,请使用 /etc/ipf/ipf6.conf 文件。如果不希望在引导时装入包过滤规则,请将这些规则放置在所选的文件中,然后手动激活包过滤。有关包过滤的信息,请参见使用 Oracle Solaris : IP 过滤器的包过滤功能。有关使用配置文件的信息,请参见创建和编辑 Oracle Solaris : IP 过滤器配置文件。
(可选)创建网络地址转换 (network address translation, NAT) 配置文件。
网络地址转换 (Network Address Translation, NAT) 不支持 IPv6。
如果要使用网络地址转换,请创建 ipnat.conf 文件。如果希望在引导时装入 NAT 规则,请创建一个名为 /etc/ipf/ipnat.conf 的文件,在其中放置 NAT 规则。如果不希望在引导时装入 NAT 规则,请将 ipnat.conf 文件放置在所选的位置中,然后手动激活 NAT 规则。
有关 NAT 的更多信息,请参见使用 Oracle Solaris : IP 过滤器的 NAT 功能。
(可选)创建地址池配置文件。
如果要将一组地址作为单个地址池引用,请创建 ipool.conf 文件。如果希望在引导时装入地址池配置文件,请创建一个名为 /etc/ipf/ippool.conf 的文件,在其中放置地址池。如果不希望在引导时装入地址池配置文件,请将 ippool.conf 文件放置在所选的位置中,然后手动激活这些规则。
一个地址池可以只包含 IPv4 地址和 IPv6 地址中的一种,也可以同时包含这两种地址。
有关地址池的更多信息,请参见使用 Oracle Solaris : IP 过滤器的地址池功能。
(可选)启用回送流量的过滤。
如果打算过滤系统中配置的区域之间的流量,则必须启用回送过滤。请参见如何启用回送过滤。还要确保定义了应用于这些区域的相应规则集。
激活 Oracle Solaris : IP 过滤器。
# svcadm enable network/ipfilter |
在暂时禁用包过滤后,可以重新启用它。
承担拥有 IP 过滤器管理权限配置文件的角色,或者成为超级用户。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
使用以下方法之一启用 Oracle Solaris : IP 过滤器并激活过滤:
重新引导计算机。
# reboot |
若启用了 IP 过滤器,则重新引导后会装入以下文件(如果它们存在):/etc/ipf/ipf.conf 文件、 /etc/ipf/ipf6.conf 文件(使用 IPv6 时)或 /etc/ipf/ipnat.conf。
执行以下系列命令以启用 Oracle Solaris : IP 过滤器并激活过滤:
启用 Oracle Solaris : IP 过滤器。
# ipf -E |
激活包过滤。
# ipf -f filename |
(可选)激活 NAT。
# ipnat -f filename |
网络地址转换 (Network Address Translation, NAT) 不支持 IPv6。
仅当系统运行 Solaris 10 7/07 发行版或更高版本时,才能过滤回送流量。在以前的 Oracle Solaris : 10 发行版中,不支持回送过滤。
承担拥有 IP 过滤器管理权限配置文件的角色,或者成为超级用户。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”。
如果 Oracle Solaris : IP 过滤器正在运行,则将其停止。
# svcadm disable network/ipfilter |
通过在文件开头添加下面的行来编辑 /etc/ipf.conf 或 /etc/ipf6.conf 文件:
set intercept_loopback true; |
此行必须位于文件中定义的所有 IP 过滤器规则之前。不过,可以在此行之前插入注释,与以下示例类似:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ... |
启动 Oracle Solaris : IP 过滤器。
# svcadm enable network/ipfilter |
要验证回送过滤的状态,请使用以下命令:
# ipf —T ipf_loopback ipf_loopback min 0 max 0x1 current 1 # |
如果已禁用回送过滤,该命令将生成以下输出:
ipf_loopback min 0 max 0x1 current 0 |