我們能夠在Windows下使用防火墻來設(shè)置對網(wǎng)絡(luò)的訪問，在Redhat中也能用ipTables防火墻來配置各種進(jìn)出數(shù)據(jù)包。同樣在Solaris下也能配置防火墻。就是ipFilter。今天我們一起來配置一下ipFilter，實(shí)現(xiàn)對其他機(jī)器的訪問限制。 服務(wù)名為svc:/network/ipfilter:default。默認(rèn)是禁用的： ipFilter的配置文件為/etc/ipf/ipf.conf。我們來新建一條規(guī)則，禁止192.168.0.168訪問服務(wù)器端的ftp。 #vi /etc/ipf/ipf.conf 添加內(nèi)容： block in log quick proto tcp from 10.4.128.0/24 to any port = ftp 然后重啟服務(wù)，并查看是否啟動。 現(xiàn)在我們來測試一下，防火墻是否生效。 哇塞，真的不能FTP啦？是不是ftp服務(wù)出問題了呢？我們換用其他IP地址來測試一下。 哦，看來ipFilter真的生效了！ 既然這樣的話，我們就來看看剛才添加的那條規(guī)則吧。其實(shí)規(guī)則也很簡單： 禁止就是block 通過就是pass 進(jìn)來就是in 出去就是out 那么配合起來使用就行了，再加上可以指定在哪個(gè)網(wǎng)卡上使用，也就是再加個(gè)on e1000g0，另外還有一個(gè)關(guān)鍵字就是all，這是匹配(禁止或者通過)所有的包，組合起來的例子就是： block in on e1000g0 all (禁止所有的包進(jìn)入) 還可以針對網(wǎng)段、IP以及端口的配置，就是在包的后面加如from .... to .... port = ..就可以，等號的地方可以改成其他運(yùn)算符，如<、> 網(wǎng)段：block in log proto tcp from 192.168.0.0/24 to any port = ftp 地址：block in log proto tcp from 192.168.0.168/32 to any port = ftp 對于協(xié)議的控制，它一樣可以做的很好。協(xié)議的關(guān)鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對協(xié)議的控制就是在協(xié)議的關(guān)鍵字前加proto關(guān)鍵字如: block in on e1000g0 proto icmp from any to any 在使用ICMP協(xié)議控制的時(shí)候，可以使用icmp-type關(guān)鍵字來指定ICMP協(xié)議的類型，類型的值有4種： ICMP Type Value Keyword Echo reply 0 echorep Echo request 8 echo Router advertisement 9 routerad Router solicitation 10 routersol 例如：禁止對PING的響應(yīng) block out quick proto icmp from any to 10.4.128.163/32 icmp-type 0 在這里要解釋一下quick的用法，這是個(gè)很好用的關(guān)鍵字，假如你的防火墻有100條規(guī)則，最有用的可能只有前10條，那么quick是非常有必要的。 pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet block in log all from any to any 假如我們希望禁止服務(wù)器的所有包而只希望一個(gè)IP只能夠telnet的話，那么就可以加上quick關(guān)鍵字，quick的作用是當(dāng)包符合這條規(guī)則以后，就不再向下進(jìn)行遍歷了。如果沒有quick的情況下，每一個(gè)包都要遍歷整個(gè)規(guī)則表，這樣的開銷是十分大的，但是如果濫用quick也是不明智的，因?yàn)樗吘共粫a(chǎn)生日志。 今天的內(nèi)容超級簡單哦、大家能夠輕松一點(diǎn)了！

轉(zhuǎn)載于:https://blog.51cto.com/xiaoduan/154563

總結(jié)

以上是生活随笔為你收集整理的跟小段一起学Solaris（20）---ipFilter防火墙的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。