请告诉我们如何提高我们的文档：

过于简略
不易阅读或难以理解
重要信息缺失
错误的内容
需要翻译的版本
--选择-- Deutch (German) Español (Spanish) Français (French) Italiano (Italian) Português Brasil (Portuguese) 日本語 (Japanese) 한국어 (Korean) 简体中文 (Simplified Chinese) 繁體中文 (Traditional Chinese) 其他语言 其他

Your rating has been updated

感谢您的反馈！

您的反馈将非常有助于我们提供更好的文档。 您是否愿意参与我们的内容改进并提供进一步的意见？

前往问卷调查不。谢谢。

配置 IP 过滤器

以下任务列表提供了用于创建 IP 过滤器规则以及启用和禁用服务的过程。

表 5-1 配置 IP 过滤器（任务列表）

如何显示 IP 过滤器服务缺省值

开始之前

要运行 ipfstat 命令，您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

1. 查看 IP 过滤器服务的配置文件名称和位置。

   % svccfg -s ipfilter:default listprop   | grep file
   config/ipf6_config_file                      astring     /etc/ipf/ipf6.conf
   config/ipnat_config_file                     astring     /etc/ipf/ipnat.conf
   config/ippool_config_file                    astring     /etc/ipf/ippool.conf
   firewall_config_default/custom_policy_file   astring     none

   前三个文件属性具有建议的文件位置。这些文件不存在，直到您创建它们。您可以通过更改配置文件属性值来更改该文件的位置。有关过程，请参见如何创建 IP 过滤器配置文件。

   在定制自己的包过滤规则时修改第四个文件属性。请参见如何创建 IP 过滤器配置文件中的步骤 1 和步骤 2。

2. 确定是否已启用 IP 过滤器服务。

   • 在手动联网系统上，缺省情况下不启用 IP 过滤器。

     % svcs -x ipfilter:default
     svc:/network/ipfilter:default (IP Filter)
      State: disabled since Mon Sep 10 10:10:50 2012
     Reason: Disabled by an administrator.
        See: http://oracle.com/msg/SMF-8000-05
        See: ipfilter(5)
     Impact: This service is not running.

   • 在 IPv4 网络的自动联网系统上，运行以下命令来查看 IP 过滤器策略：

     $ ipfstat -io

     要查看创建策略的文件，请阅读 /etc/nwam/loc/NoNet/ipf.conf。此文件仅用于查看。要修改策略，请参见如何创建 IP 过滤器配置文件。

     ---

     注 - 要查看 IPv6 网络的 IP 过滤器策略，请添加 -6 选项，与在 ipfstat -6io 中一样。有关更多信息，请参见 ipfstat(1M) 手册页。

     ---

如何创建 IP 过滤器配置文件

要修改自动配置的网络配置的 IP 过滤器策略，或在手动配置的网络中使用 IP 过滤器，您可以创建配置文件、通知该服务这些文件并启用该服务。

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

1. 为 IP 过滤器服务指定策略文件的文件位置。

   该文件包含包过滤规则集合。

   1. 首先将策略文件设置为 custom。

      $ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"

   2. 然后，指定位置。

      例如，将 /etc/ipf/myorg.ipf.conf 设置为包过滤规则集合的位置。

      $ svccfg -s ipfilter:default \
      setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"

2. 创建包过滤规则集合。

   有关包过滤的信息，请参见使用 IP 过滤器的包过滤功能。有关配置文件的示例，请参见IP 过滤器配置文件示例和 /etc/nwam/loc/NoNet/ipf.conf 文件。

   ---

   注 - 如果您指定的策略文件为空，则不会进行过滤。空的包过滤文件相当于具有以下规则集合：

   pass in all
   pass out all

   ---

3. 可选为 IP 过滤器创建网络地址转换 (network address translation, NAT) 配置文件。

   要通过 NAT 过滤包，请使用相应的名称（如 /etc/ipf/ipnat.conf）为 NAT 规则创建文件。要更改该名称，请更改 config/ipnat_config_file 服务属性的值，如：

   $ svccfg -s ipfilter:default \
   setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"

   有关 NAT 的更多信息，请参见使用 IP 过滤器的 NAT 功能。

4. 可选创建地址池配置文件。

   要将一组地址作为单个地址池引用，请使用相应的名称（如 /etc/ipf/ippool.conf）为池创建文件。要更改该名称，请更改 config/ippool_config_file 服务属性的值，如：

   $ svccfg -s ipfilter:default \
   setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"

   一个地址池可以包含 IPv4 地址和 IPv6 地址的任意组合。有关地址池的更多信息，请参见使用 IP 过滤器的地址池功能。

5. 可选启用回送流量的过滤。

   如果打算过滤系统中配置的区域之间的流量，则必须启用回送过滤。请参见如何启用回送过滤。还必须定义应用于这些区域的规则集合。

6. 可选禁用分段包重组。

   缺省情况下，在 IP 过滤器中对段进行重组。要修改缺省值，请参见如何禁用包重组。

如何启用和刷新 IP 过滤器

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

已完成如何创建 IP 过滤器配置文件。

1. 启用 IP 过滤器。

   要在最初启用 IP 过滤器，请键入以下命令：

   $ svcadm enable network/ipfilter

2. 在服务运行时修改 IP 过滤器配置文件后，刷新该服务。

   $ svcadm refresh network/ipfilter

   ---

   注 - refresh 命令可暂时禁用防火墙。要保留防火墙，请附加规则或添加新的配置文件。有关包含示例的过程，请参见使用 IP 过滤器规则集合。

   ---

如何禁用包重组

缺省情况下，在 IP 过滤器中对段进行重组。要禁用该重组，请在策略文件开头插入规则。

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件和 solaris.admin.edit/path-to-IPFilter-policy-file 授权的管理员。root 角色具有所有这些权限。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

1. 禁用 IP 过滤器。

   $ svcadm disable network/ipfilter

2. 在 IP 过滤器策略文件开头添加以下规则。

   set defrag off;

   使用 pfedit 命令，如下所示：

   $ pfedit /etc/ipf/myorg.ipf.conf

   该规则必须位于文件中定义的所有 block 和 pass 规则之前。不过，可以在此行之前插入注释，与以下示例类似：

   # Disable fragment reassembly
   #
   set defrag off;
   # Define policy
   #
   block in all
   block out all
   other rules

3. 启用 IP 过滤器。

   $ svcadm enable network/ipfilter

4. 验证是否未对包进行重组。

   $ ipf -T defrag
   defrag  min 0   max 0x1 current 0

   如果 current 为 0，则段不会进行重组。如果 current 为 1，则段将进行重组。

如何启用回送过滤

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件和 solaris.admin.edit/path-to-IPFilter-policy-file 授权的管理员。root 角色具有所有这些权限。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

1. 如果 IP 过滤器正在运行，则将其停止。

   $ svcadm disable network/ipfilter

2. 在 IP 过滤器策略文件开头添加以下规则。

   set intercept_loopback true;

   使用 pfedit 命令，如下所示：

   $ pfedit /etc/ipf/myorg.ipf.conf

   此行必须位于文件中定义的所有 block 和 pass 规则之前。不过，可以在此行之前插入注释，与以下示例类似：

   ...
   #set defrag off;
   # 
   # Enable loopback filtering to filter between zones 
   # 
   set intercept_loopback true; 
   # 
   # Define policy 
   # 
   block in all 
   block out all 
   other rules

3. 启用 IP 过滤器。

   $ svcadm enable network/ipfilter

4. 要验证回送过滤的状态，请使用以下命令：

   $ ipf -T ipf_loopback
   ipf_loopback    min 0   max 0x1 current 1
   $

   如果 current 为 0，则禁用回送过滤。如果 current 为 1，则启用回送过滤。

如何禁用包过滤

此过程可从内核中删除所有规则并禁用该服务。如果使用此过程，则必须使用相应的配置文件启用 IP 过滤器以重新启动包过滤和 NAT。有关更多信息，请参见如何启用和刷新 IP 过滤器。

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见《Oracle Solaris 11.1 管理：安全服务》中的"如何使用指定给您的管理权限"。

• 要禁用该服务，请使用 svcadm 命令。

  $ svcadm disable network/ipfilter

  要测试或调试该服务，您可以在服务运行时删除规则集合。有关更多信息，请参见使用 IP 过滤器规则集合。