跳过导航链接 | |
退出打印视图 | |
Oracle Solaris 管理:IP 服务 Oracle Solaris 10 1/13 Information Library (简体中文) |
1. Oracle Solaris TCP/IP 协议套件(概述)
5. 配置 TCP/IP 网络服务和 IPv4 寻址(任务)
25. Oracle Solaris 中的 IP 过滤器(概述)
IP 过滤器由 SMF 服务 svc:/network/pfil 和 svc:/network/ipfilter 管理。有关 SMF 的完整概述,请参见《Oracle Solaris 管理:基本管理》中的第 18 章 "管理服务(概述)"。有关与 SMF 相关的逐步过程的信息,请参见《Oracle Solaris 管理:基本管理》中的第 19 章 "管理服务(任务)"。
IP 过滤器要求直接编辑配置文件。
IP 过滤器作为 Oracle Solaris 的一部分安装。缺省情况下,在初次安装后不会激活 IP 过滤器。要配置过滤,必须编辑配置文件并手动激活 IP 过滤器。可以通过重新引导系统,或者使用 ifconfig 命令检测接口来激活过滤。有关更多信息,请参见 ifconfig(1M) 手册页。有关与启用 IP 过滤器关联的任务,请参见配置 IP 过滤器。
要管理 IP 过滤器,必须能够承担拥有 IP 过滤器管理权限配置文件的角色或者成为超级用户。可以将 IP Filter Management(IP 过滤器管理)权限配置文件指定给您创建的角色。要创建该角色并将其指定给用户,请参见《System Administration Guide: Security Services》中的"Configuring RBAC (Task Map)"。
IP 网络多路径 (IP Network Multipathing, IPMP) 仅支持无状态过滤。
要使 IP 过滤器对进出 IPMP 组的流量执行无状态过滤,您必须设置 ipmp_hook_emulation 参数。缺省情况下,该参数设置为零 (0),这意味着 IP 过滤器无法对属于 IPMP 组的物理接口上的流量执行有状态包检查。要启用 IPMP 包过滤,请发出以下命令:
ndd -set /dev/ip ipmp_hook_emulation 1
Oracle Solaris Cluster 软件对可伸缩服务不支持使用 IP 过滤器进行过滤,但对故障转移服务支持 IP 过滤器。有关在群集中配置 IP 过滤器的指导和限制,请参见《Oracle Solaris Cluster 软件安装指南》中的"Oracle Solaris OS 功能限制"。
如果在充当系统中其他区域的虚拟路由器的区域中实现 IP 过滤器过则,则支持在各区域之间进行过滤。