So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste (Systemverwaltungshandbuch: IP Services)

Systemverwaltungshandbuch: IP Services

So aktivieren Sie eine andere oder aktualisierte Paketfilter-Regelliste

Verwenden Sie das folgende Verfahren, wenn Sie eine der folgenden Aufgaben durchführen möchten:

Aktivieren einer anderen Paketfilter-Regelliste als der, die derzeit von Oracle Solaris IP Filter verwendet wird.
Neuladen einer aktualisierten Paketfilter-Regelliste.

Nehmen Sie eine Rolle an, die das IP Filter Management-Rechteprofil umfasst, oder melden Sie sich als Superuser an.

Sie können das IP Filter Management-Rechteprofil einer von Ihnen erstellten Rolle zuweisen. Informationen zum Erstellen von Rollen und Zuweisen von Rollen zu Benutzern finden Sie in Configuring RBAC (Task Map) in System Administration Guide: Security Services.

Führen Sie einen der folgenden Schritte aus:
- Erstellen Sie eine neue Regelliste in einer separaten Datei Ihrer Wahl, wenn Sie eine vollständig andere Regelliste aktivieren möchten.
- Aktualisieren Sie die aktuelle Regelliste, indem Sie die Konfigurationsdatei bearbeiten, in der die Regelliste enthalten ist.

Entfernen Sie die aktuelle Regelliste und laden Sie eine neue.
# ipf -Fa -f filename
Der Dateiname kann entweder der Name einer neuen Datei mit der neuen Regelliste oder der Name einer aktualisierten Datei sein, die die aktive Regelliste enthält.

Die aktive Regelliste wird aus dem Kernel entfernt. Die Regeln in der Datei Dateiname werden zur aktiven Regelliste.

Hinweis –
Sie müssen diesen Befehl auch dann eingeben, wenn Sie die aktuelle Konfigurationsdatei neu laden. Andernfalls bleibt die alte Regelliste aktiviert, und die geänderte Regelliste in der aktualisierten Konfigurationsdatei wird nicht übernommen.

Verwenden Sie keine Befehle wie ipf -D oder svcadm restart, um die aktualisierte Regelliste zu laden. Diese Befehle legen Ihr Netzwerk offen, da sie die Firewall vor dem Laden der neuen Regelliste deaktivieren.

Beispiel 26–4 Aktivieren einer anderen Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine Paketfilter-Regelliste durch eine andere Liste in einer separaten Konfigurationsdatei (/etc/ipf/ipf.conf) ersetzen.

# ipfstat -io
empty list for ipfilter(out)
pass in quick on dmfe all
# ipf -Fa -f /etc/ipf/ipf.conf
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any

Beispiel 26–5 Neuladen einer aktualisierten Paketfilter-Regelliste

Im folgenden Beispiel wird gezeigt, wie Sie eine derzeit aktive und aktualisierte Paketfilter-Regelliste neu laden. Die in diesem Beispiel verwendete Datei heißt /etc/ipf/ipf.conf.

# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any

(Edit the /etc/ipf/ipf.conf configuration file.)

# ip -Fa -f /etc/ipf/ipf.conf
# ipfstat -io (Optional)
empty list for ipfilter (out)
block in log quick from 10.0.0.0/8 to any
block in quick on elx10 from 192.168.0.0/12 to any