开始之前
要运行 ipfstat 命令,您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限。
$ svccfg -s ipfilter:default listprop | grep file config/ipf6_config_file astring /etc/ipf/ipf6.conf config/ipnat_config_file astring /etc/ipf/ipnat.conf config/ippool_config_file astring /etc/ipf/ippool.conf firewall_config_default/custom_policy_file astring none
前三个文件属性具有缺省的文件位置。这些文件不存在,直到您创建它们。如果更改配置文件的位置,必须更改该文件的属性值。有关过程,请参见如何创建 IP 过滤器配置文件。
在定制自己的包过滤规则时修改第四个文件属性。请参见如何创建 IP 过滤器配置文件 中的Step 1 和Step 2。
在手动联网系统上,缺省情况下不启用 IP 过滤器。
$ svcs -x ipfilter:default svc:/network/ipfilter:default (IP Filter) State: disabled since Mon Sep 10 10:10:50 2012 Reason: Disabled by an administrator. See: http://oracle.com/msg/SMF-8000-05 See: ipfilter(5) Impact: This service is not running.
在 IPv4 网络的自动联网系统上,运行以下命令来查看 IP 过滤器策略:
# ipfstat -io
要查看创建策略的文件,请阅读 /etc/nwam/loc/NoNet/ipf.conf。此文件仅用于查看。
要修改策略,请参见如何创建 IP 过滤器配置文件。