在 Oracle® Solaris 11.2 中确保网络安全

退出打印视图

更新时间: 2014 年 9 月
 
 

如何显示 IP 过滤器服务缺省值

开始之前

要运行 ipfstat 命令,您必须成为分配有 "IP Filter Management"(IP 过滤器管理)权限配置文件的管理员。有关更多信息,请参见在 Oracle Solaris 11.2 中确保用户和进程的安全 中的使用所指定的管理权限

  1. 查看 IP 过滤器服务的配置文件名称和位置。
    $ svccfg -s ipfilter:default listprop   | grep file
    config/ipf6_config_file                      astring     /etc/ipf/ipf6.conf
    config/ipnat_config_file                     astring     /etc/ipf/ipnat.conf
    config/ippool_config_file                    astring     /etc/ipf/ippool.conf
    firewall_config_default/custom_policy_file   astring     none

    前三个文件属性具有缺省的文件位置。这些文件不存在,直到您创建它们。如果更改配置文件的位置,必须更改该文件的属性值。有关过程,请参见如何创建 IP 过滤器配置文件

    在定制自己的包过滤规则时修改第四个文件属性。请参见如何创建 IP 过滤器配置文件 中的Step 1Step 2

  2. 确定是否已启用 IP 过滤器服务。
    • 在手动联网系统上,缺省情况下不启用 IP 过滤器。

      $ svcs -x ipfilter:default
      svc:/network/ipfilter:default (IP Filter)
       State: disabled since Mon Sep 10 10:10:50 2012
      Reason: Disabled by an administrator.
         See: http://oracle.com/msg/SMF-8000-05
         See: ipfilter(5)
      Impact: This service is not running.
    • 在 IPv4 网络的自动联网系统上,运行以下命令来查看 IP 过滤器策略:

      # ipfstat -io

      注 -  要查看 IPv6 网络的 IP 过滤器策略,请添加 –6 选项,与在 ipfstat -6io 中一样。有关更多信息,请参见 ipfstat(1M) 手册页。