如何设置 Solaris IP 过滤功能

1. 在 /etc/iu.ap 文件中，修改公共 NIC 条目，以将 clhbsndr pfil 列为模块列表。

   pfil 必须是列表中的最后一个模块。

   ---

   注 –

   如果专用网络和公共网络使用的是同一类型的适配器，则对 /etc/iu.ap 文件进行的这一编辑会将 pfil 推向专用网络流。但群集传输模块会在创建流时自动删除所有不需要的模块，因此，pfil 将从专用网络流中被删除。

   ---

2. 为确保 IP 过滤器能够在非群集模式下使用，请更新 /etc/ipf/pfil.ap 文件。

   对 /etc/ipf/pfil.ap 文件的更新根据具体情况会稍有不同。有关更多信息，请参见 IP 过滤器相关文档。

3. 重新引导所有受影响的节点。

   您可以采用滚动方式引导各个节点。

4. 在所有受影响的节点上将过滤器规则添加到 /etc/ipf/ipf.conf 文件中。有关 IP 过滤器规则语法的信息，请参见 ipf(4)。

   向 Sun Cluster 节点中添加过滤器规则时，请记住以下指导原则和要求。

   • Sun Cluster 可以将网络地址从一个节点故障转移到另一个节点。因此，在进行故障转移时，无需执行特殊的操作过程，也无需运行特殊代码。

   • 所有群集节点上引用逻辑主机名 IP 地址和共享地址资源的所有过滤规则必须完全相同。

   • 备用节点上的规则将会引用不存在的 IP 地址。此规则仍是 IP 过滤器活动规则集的一部分，将在故障转移后节点收到地址时生效。

   • 同一 IPMP 组中所有 NIC 相应的所有过滤规则必须相同。换言之，如果某一接口具备特定的规则，则同一 IPMP 组中所有其他接口必须具备与此相同的规则。

5. 启用 ipfilter SMF 服务。

   # svcadm enable /network/ipfilter:default