跳过导航链接 | |
退出打印视图 | |
系统管理指南:IP 服务 Oracle Solaris 10 8/11 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
以下任务列表提供了与配置 IP 过滤器相关的过程。
表 26-1 配置 IP 过滤器(任务列表)
|
使用此过程可在运行 Solaris 10 7/07 OS 或更高版本的系统上启用 IP 过滤器。如果系统运行的 Oracle Solaris 10 发行版早于 Solaris 10 7/07 OS 并且要启用 IP 过滤器,请参见使用 pfil 模块。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。要创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
包过滤规则集合包含由 IP 过滤器使用的包过滤规则。如果希望在引导时装入包过滤规则,请编辑 /etc/ipf/ipf.conf 文件以实现 IPv4 包过滤。对于 IPv6 包过滤规则,请使用 /etc/ipf/ipf6.conf 文件。如果不希望在引导时装入包过滤规则,请将这些规则放置在所选的文件中,然后手动激活包过滤。有关包过滤的信息,请参见使用 IP 过滤器的包过滤功能。有关使用配置文件的信息,请参见创建和编辑 IP 过滤器配置文件。
注 - 网络地址转换 (Network Address Translation, NAT) 不支持 IPv6。
如果要使用网络地址转换,请创建 ipnat.conf 文件。如果希望在引导时装入 NAT 规则,请创建一个名为 /etc/ipf/ipnat.conf 的文件,在其中放置 NAT 规则。如果不希望在引导时装入 NAT 规则,请将 ipnat.conf 文件放置在所选的位置中,然后手动激活 NAT 规则。
有关 NAT 的更多信息,请参见使用 IP 过滤器的 NAT 功能。
如果要将一组地址作为单个地址池引用,请创建 ipool.conf 文件。如果希望在引导时装入地址池配置文件,请创建一个名为 /etc/ipf/ippool.conf 的文件,在其中放置地址池。如果不希望在引导时装入地址池配置文件,请将 ippool.conf 文件放置在所选的位置中,然后手动激活这些规则。
一个地址池可以只包含 IPv4 地址和 IPv6 地址中的一种,也可以同时包含这两种地址。
有关地址池的更多信息,请参见使用 IP 过滤器的地址池功能。
如果打算过滤系统中配置的区域之间的流量,则必须启用回送过滤。请参见如何启用回送过滤。还要确保定义了应用于这些区域的相应规则集合。
# svcadm enable network/ipfilter
在暂时禁用包过滤后,可以重新启用它。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。要创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
重新引导计算机。
# reboot
注 - 若启用了 IP 过滤器,则重新引导后会装入以下文件(如果它们存在):/etc/ipf/ipf.conf 文件、 /etc/ipf/ipf6.conf 文件(使用 IPv6 时)或 /etc/ipf/ipnat.conf。
执行以下系列命令以启用 IP 过滤器并激活过滤:
启用 IP 过滤器。
# ipf -E
激活包过滤。
# ipf -f filename
(可选的)激活 NAT。
# ipnat -f filename
注 - 网络地址转换 (Network Address Translation, NAT) 不支持 IPv6。
注 - 仅当系统运行 Solaris 10 7/07 发行版或更高版本时,才能过滤回送流量。在以前的 Oracle Solaris 10 发行版中,不支持回送过滤。
可以将 IP 过滤器管理权限配置文件指定给您创建的角色。要创建该角色并将其指定给用户,请参见《系统管理指南:安全性服务》中的"配置 RBAC(任务列表)"。
# svcadm disable network/ipfilter
set intercept_loopback true;
此行必须位于文件中定义的所有 IP 过滤器规则之前。不过,可以在此行之前插入注释,与以下示例类似:
# # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all <other rules> ...
# svcadm enable network/ipfilter
# ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 #
如果已禁用回送过滤,该命令将生成以下输出:
ipf_loopback min 0 max 0x1 current 0