在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何禁用包重组

缺省情况下,在 IP 过滤器中对段进行重组。要禁用该重组,请在策略文件开头插入规则。

开始之前

您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件和 solaris.admin.edit/path-to-IPFilter-policy-file 授权的管理员。root 角色具有所有这些权限。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 禁用 IP 过滤器。
    # svcadm disable network/ipfilter
  2. 在 IP 过滤器策略文件开头添加以下规则。
    set defrag off;

    使用 pfedit 命令,如下所示:

    # pfedit /etc/ipf/myorg.ipf.conf

    该规则必须位于文件中的所有 blockpass 规则之前。不过,可以在此行之前插入注释,与以下示例类似:

    # Disable fragment reassembly
    #
    set defrag off;
    # Define policy
    #
    block in all
    block out all
    other rules
  3. 启用 IP 过滤器。
    # svcadm enable network/ipfilter
  4. 验证是否未对包进行重组。
    # ipf -T defrag
    defrag  min 0   max 0x1 current 0

    如果 current 的值为 0,则段不会进行重组。如果 current1,则段将进行重组。