Basculement entre les ensembles actif et inactif de règles de filtrage de paquets

1. Connectez-vous en tant que superutilisateur ou prenez un rôle bénéficiant du profil des droits de gestion IP Filter.

   Vous pouvez créer un rôle et lui attribuer le profil de droits de gestion IP Filter. Pour créer un rôle et l'attribuer à un utilisateur, reportez-vous à la section Configuring RBAC (Task Map) du System Administration Guide: Security Services.

2. Basculez entre les ensembles de règles actif et inactif.

   # ipf -s

   Cette commande permet de basculer entre les ensembles de règles actif et inactif dans le noyau. Si l'ensemble de règles inactif est vide, aucun filtrage de paquets n'est effectué.

Exemple 26–9 Basculement entre les ensembles actif et inactif de règles de filtrage de paquets

Dans l'exemple ci-dessous, la commande ipf -s est exécutée. L'ensemble de règles inactif devient alors l'ensemble de règles actif, tandis que l'ensemble de règles actif devient l'ensemble de règles inactif.

• Avant l'exécution de la commande ipf -s, la sortie de la commande ipfstat -I -io permet d'afficher les règles de l'ensemble de règles inactif. La sortie de la commande ipfstat -io affiche les règles de l'ensemble de règles actif.

  # ipfstat -io empty list for ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any # ipfstat -I -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any

• Une fois la commande ipf -s exécutée, les sorties des commandes ipfstat -I -io et ipfstat -io indiquent que le contenu des deux ensembles de règles a été échangé.

  # ipf -s Set 1 now inactive # ipfstat -io pass out quick on dmfe1 all pass in quick on dmfe1 all block in log quick from 10.0.0.0/8 to any # ipfstat -I -io empty list for inactive ipfilter(out) block in log quick from 10.0.0.0/8 to any block in on dmfe1 proto tcp from 10.1.1.1/32 to any