要修改自动配置的网络配置的 IP 过滤器策略,或在手动配置的网络中使用 IP 过滤器,您可以创建配置文件、通知该服务这些文件并启用该服务。
开始之前
您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
该文件包含包过滤规则集合。
# svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
例如,将 /etc/ipf/myorg.ipf.conf 设置为包过滤规则集合的位置。
# svccfg -s ipfilter:default \ setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
有关包过滤的信息,请参见使用 IP 过滤器的包过滤功能。有关配置文件的示例,请参见IP 过滤器配置文件示例和 /etc/nwam/loc/NoNet/ipf.conf 文件。
pass in all pass out all
要通过 NAT 过滤包,请使用缺省文件名 /etc/ipf/ipnat.conf 为 NAT 规则创建文件。如果使用不同的名称,则必须更改 config/ipnat_config_file 服务属性的值,如:
# svccfg -s ipfilter:default \ setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"
有关 NAT 的更多信息,请参见使用 IP 过滤器的 NAT 功能。
要将一组地址作为单个地址池引用,请使用缺省名称 /etc/ipf/ippool.conf 为池创建文件。如果使用不同的名称,则必须更改 config/ippool_config_file 服务属性的值,如:
# svccfg -s ipfilter:default \ setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"
一个地址池可以包含 IPv4 地址和 IPv6 地址的任意组合。有关地址池的更多信息,请参见使用 IP 过滤器的地址池功能。
如果打算过滤系统中配置的区域之间的流量,则必须启用回送过滤。请参见如何启用回送过滤。还必须定义应用于这些区域的规则集合。
缺省情况下,在 IP 过滤器中对段进行重组。要修改缺省值,请参见如何禁用包重组。