如何创建 IP 过滤器配置文件

要修改自动配置的网络配置的 IP 过滤器策略，或在手动配置的网络中使用 IP 过滤器，您可以创建配置文件、通知该服务这些文件并启用该服务。

开始之前

您必须成为分配有 "IP Filter Management"（IP 过滤器管理）权限配置文件的管理员。有关更多信息，请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。

1. 为 IP 过滤器服务指定策略文件的文件位置。

   该文件包含包过滤规则集合。

   1. 首先将策略文件设置为 custom。

      # svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"

   2. 然后，指定位置。

      例如，将 /etc/ipf/myorg.ipf.conf 设置为包过滤规则集合的位置。

      # svccfg -s ipfilter:default \
      setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"

2. 创建包过滤规则集合。

   有关包过滤的信息，请参见使用 IP 过滤器的包过滤功能。有关配置文件的示例，请参见IP 过滤器配置文件示例和 /etc/nwam/loc/NoNet/ipf.conf 文件。

   ---

   注 -  如果您指定的策略文件为空，则不会进行过滤。空的包过滤文件相当于具有以下规则集合：

   pass in all
   pass out all

   ---

3. (u53ef选) 为 IP 过滤器创建网络地址转换 (network address translation, NAT) 配置文件。

   要通过 NAT 过滤包，请使用缺省文件名 /etc/ipf/ipnat.conf 为 NAT 规则创建文件。如果使用不同的名称，则必须更改 config/ipnat_config_file 服务属性的值，如：

   # svccfg -s ipfilter:default \
   setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"

   有关 NAT 的更多信息，请参见使用 IP 过滤器的 NAT 功能。

4. (u53ef选) 创建地址池配置文件。

   要将一组地址作为单个地址池引用，请使用缺省名称 /etc/ipf/ippool.conf 为池创建文件。如果使用不同的名称，则必须更改 config/ippool_config_file 服务属性的值，如：

   # svccfg -s ipfilter:default \
   setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"

   一个地址池可以包含 IPv4 地址和 IPv6 地址的任意组合。有关地址池的更多信息，请参见使用 IP 过滤器的地址池功能。

5. (u53ef选) 启用回送流量的过滤。

   如果打算过滤系统中配置的区域之间的流量，则必须启用回送过滤。请参见如何启用回送过滤。还必须定义应用于这些区域的规则集合。

6. (u53ef选) 禁用分段包重组。

   缺省情况下，在 IP 过滤器中对段进行重组。要修改缺省值，请参见如何禁用包重组。