跳过导航链接 | |
退出打印视图 | |
![]() |
在 Oracle Solaris 11.1 中保护网络安全 Oracle Solaris 11.1 Information Library (简体中文) |
以下任务列表提供了用于创建 IP 过滤器规则以及启用和禁用服务的过程。
表 5-1 配置 IP 过滤器(任务列表)
|
开始之前
要运行 ipfstat 命令,您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
% svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
前三个文件属性具有建议的文件位置。这些文件不存在,直到您创建它们。您可以通过更改配置文件属性值来更改该文件的位置。有关过程,请参见如何创建 IP 过滤器配置文件。
在定制自己的包过滤规则时修改第四个文件属性。请参见如何创建 IP 过滤器配置文件中的步骤 1 和步骤 2。
在手动联网系统上,缺省情况下不启用 IP 过滤器。
% svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
在 IPv4 网络的自动联网系统上,运行以下命令来查看 IP 过滤器策略:
$ ipfstat -io
要查看创建策略的文件,请阅读 /etc/nwam/loc/NoNet/ipf.conf。此文件仅用于查看。要修改策略,请参见如何创建 IP 过滤器配置文件。
要修改自动配置的网络配置的 IP 过滤器策略,或在手动配置的网络中使用 IP 过滤器,您可以创建配置文件、通知该服务这些文件并启用该服务。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
该文件包含包过滤规则集合。
$ svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
例如,将 /etc/ipf/myorg.ipf.conf 设置为包过滤规则集合的位置。
$ svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
有关包过滤的信息,请参见使用 IP 过滤器的包过滤功能。有关配置文件的示例,请参见IP 过滤器配置文件示例和 /etc/nwam/loc/NoNet/ipf.conf 文件。
注 - 如果您指定的策略文件为空,则不会进行过滤。空的包过滤文件相当于具有以下规则集合:
pass in all pass out all
要通过 NAT 过滤包,请使用相应的名称(如 /etc/ipf/ipnat.conf)为 NAT 规则创建文件。要更改该名称,请更改 config/ipnat_config_file 服务属性的值,如:
$ svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
有关 NAT 的更多信息,请参见使用 IP 过滤器的 NAT 功能。
要将一组地址作为单个地址池引用,请使用相应的名称(如 /etc/ipf/ippool.conf)为池创建文件。要更改该名称,请更改 config/ippool_config_file 服务属性的值,如:
$ svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
一个地址池可以包含 IPv4 地址和 IPv6 地址的任意组合。有关地址池的更多信息,请参见使用 IP 过滤器的地址池功能。
如果打算过滤系统中配置的区域之间的流量,则必须启用回送过滤。请参见如何启用回送过滤。还必须定义应用于这些区域的规则集合。
缺省情况下,在 IP 过滤器中对段进行重组。要修改缺省值,请参见如何禁用包重组。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
已完成如何创建 IP 过滤器配置文件。
要在最初启用 IP 过滤器,请键入以下命令:
$ svcadm enable network/ipfilter
$ svcadm refresh network/ipfilter
缺省情况下,在 IP 过滤器中对段进行重组。要禁用该重组,请在策略文件开头插入规则。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件和 solaris.admin.edit/path-to-IPFilter-policy-file 授权的管理员。root 角色具有所有这些权限。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
$ svcadm disable network/ipfilter
set defrag off;
使用 pfedit 命令,如下所示:
$ pfedit /etc/ipf/myorg.ipf.conf
该规则必须位于文件中定义的所有 block 和 pass 规则之前。不过,可以在此行之前插入注释,与以下示例类似:
# Disable fragment reassembly # set defrag off; # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T defrag defrag min 0 max 0x1 current 0
如果 current 为 0,则段不会进行重组。如果 current 为 1,则段将进行重组。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件和 solaris.admin.edit/path-to-IPFilter-policy-file 授权的管理员。root 角色具有所有这些权限。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
$ svcadm disable network/ipfilter
set intercept_loopback true;
使用 pfedit 命令,如下所示:
$ pfedit /etc/ipf/myorg.ipf.conf
此行必须位于文件中定义的所有 block 和 pass 规则之前。不过,可以在此行之前插入注释,与以下示例类似:
... #set defrag off; # # Enable loopback filtering to filter between zones # set intercept_loopback true; # # Define policy # block in all block out all other rules
$ svcadm enable network/ipfilter
$ ipf -T ipf_loopback ipf_loopback min 0 max 0x1 current 1 $
如果 current 为 0,则禁用回送过滤。如果 current 为 1,则启用回送过滤。
此过程可从内核中删除所有规则并禁用该服务。如果使用此过程,则必须使用相应的配置文件启用 IP 过滤器以重新启动包过滤和 NAT。有关更多信息,请参见如何启用和刷新 IP 过滤器。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见《Oracle Solaris 11.1 管理:安全服务》中的"如何使用指定给您的管理权限"。
$ svcadm disable network/ipfilter
要测试或调试该服务,您可以在服务运行时删除规则集合。有关更多信息,请参见使用 IP 过滤器规则集合。