如何在活动和非活动的包过滤规则集之间切换

1. 承担拥有 IP 过滤器管理权限配置文件的角色，或者成为超级用户。

   可以将 IP 过滤器管理权限配置文件指定给您创建的角色。有关如何创建该角色并将其指定给用户，请参见《系统管理指南：安全性服务》中的“配置 RBAC（任务列表）”。

2. 在活动和非活动的规则集之间切换。

   # ipf -s

   使用此命令，可以在内核中活动和非活动的规则集之间切换。请注意，如果非活动规则集为空，则没有包过滤。

示例 26–9 在活动和非活动的包过滤规则集之间切换

以下示例显示使用 ipf -s 命令如何导致非活动规则集成为活动规则集，并导致活动规则集成为非活动规则集。

• 运行 ipf -s 命令之前，ipfstat -I -io 命令的输出显示非活动规则集中的规则。ipfstat -io 命令的输出显示活动规则集中的规则。

  # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any

• 运行 ipf -s 命令后，ipfstat -I -io 和 ipfstat -io 命令的输出显示两个规则集的内容已设置。

  # ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any