test

系统管理指南:IP 服务

Procedure如何激活不同的或更新的包过滤规则集

如果要执行以下任一任务,请使用以下过程:

  1. 承担拥有 IP 过滤器管理权限配置文件的角色,或者成为超级用户。

    可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的“配置 RBAC(任务列表)”

  2. 选择以下步骤之一:

    • 如果要激活完全不同的规则集,请在您选择的单独文件中创建一个新规则集。

    • 通过编辑包含该规则集的配置文件来更新当前规则集。

  3. 删除当前的规则集,并装入新规则集。


    # ipf -Fa -f filename

    filename 可以是包含新规则集的新文件,也可以是包含活动规则集的更新文件。

    活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。

    注 –

    即使是要重新装入当前配置文件,也仍需发出该命令。否则,将继续使用旧规则集,而不会应用更新的配置文件中的已修改规则集。

    请勿使用 ipf -Dsvcadm restart 之类的命令来装入更新的规则集。此类命令会在装入新规则集之前禁用防火墙,从而会公开您的网络。

示例 26–4 激活不同的包过滤规则集

以下示例说明如何在单独的配置文件 /etc/ipf/ipf.conf 中将一个包过滤规则集替换为另一个包过滤规则集。


# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
示例 26–5 重新装入更新的包过滤规则集

以下示例说明如何重新装入当前处于活动状态且已更新的包过滤规则集。在此示例中,使用的文件是 /etc/ipf/ipf.conf


# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any