在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何创建 IP 过滤器配置文件

要修改自动配置的网络配置的 IP 过滤器策略,或在手动配置的网络中使用 IP 过滤器,您可以创建配置文件、通知该服务这些文件并启用该服务。

开始之前

您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 为 IP 过滤器服务指定策略文件的文件位置。

    该文件包含包过滤规则集合。

    1. 首先将策略文件设置为 custom
      # svccfg -s ipfilter:default setprop firewall_config_default/policy = astring: "custom"
    2. 然后,指定位置。

      例如,将 /etc/ipf/myorg.ipf.conf 设置为包过滤规则集合的位置。

      # svccfg -s ipfilter:default \
      setprop firewall_config_default/custom_policy_file = astring: "/etc/ipf/myorg.ipf.conf"
  2. 创建包过滤规则集合。

    有关包过滤的信息,请参见使用 IP 过滤器的包过滤功能。有关配置文件的示例,请参见IP 过滤器配置文件示例/etc/nwam/loc/NoNet/ipf.conf 文件。


    注 -  如果您指定的策略文件为空,则不会进行过滤。空的包过滤文件相当于具有以下规则集合:
    pass in all
    pass out all

  3. (u53ef选) 为 IP 过滤器创建网络地址转换 (network address translation, NAT) 配置文件。

    要通过 NAT 过滤包,请使用缺省文件名 /etc/ipf/ipnat.conf 为 NAT 规则创建文件。如果使用不同的名称,则必须更改 config/ipnat_config_file 服务属性的值,如:

    # svccfg -s ipfilter:default \
    setprop config/ipnat_config_file = astring: "/etc/ipf/myorg.ipnat.conf"

    有关 NAT 的更多信息,请参见使用 IP 过滤器的 NAT 功能

  4. (u53ef选) 创建地址池配置文件。

    要将一组地址作为单个地址池引用,请使用缺省名称 /etc/ipf/ippool.conf 为池创建文件。如果使用不同的名称,则必须更改 config/ippool_config_file 服务属性的值,如:

    # svccfg -s ipfilter:default \
    setprop config/ippool_config_file = astring: "/etc/ipf/myorg.ippool.conf"

    一个地址池可以包含 IPv4 地址和 IPv6 地址的任意组合。有关地址池的更多信息,请参见使用 IP 过滤器的地址池功能

  5. (u53ef选) 启用回送流量的过滤。

    如果打算过滤系统中配置的区域之间的流量,则必须启用回送过滤。请参见如何启用回送过滤。还必须定义应用于这些区域的规则集合。

  6. (u53ef选) 禁用分段包重组。

    缺省情况下,在 IP 过滤器中对段进行重组。要修改缺省值,请参见如何禁用包重组