1.查看IPFilter包过滤防火墙运行情况
Solaris 10 上IPFilter 的启动和关闭是由 SMF 管理的,在Solaris 10 上工作的进程大多都交由SMF 管理,这和先前版本的Solaris 操作系统有很大的区别。Solaris IP 过滤防火墙随 Solaris 操作系统一起安装。但是,缺省情况下不启用包过滤。使用以下过程可以激活 Solaris IP 过滤器。使用命令“svcs -a |grep network |egrep "pfil|ipf"”查看。界面如图1 。
| |
| 图1 查看IPFilter包过滤防火墙运行情况 |
IP Filter 有两个服务ipfilter 和pfil,默认情况下ipfilter 是关闭的,而pfil 是打开的。
2.查看网卡接口
lo0: flags=2001000849<UP,LOOPBACK,RUNNING,MULTICAST,IPv4,VIRTUAL> mtu 8232 index 1
inet 127.0.0.1 netmask ff000000
pcn0: flags=1000843<UP,BROADCAST,RUNNING,MULTICAST,IPv4> mtu 1500 index 2
inet 10.1.1.8 netmask ff000000 broadcast 10.255.255.255
可以看到网卡接口是pcn0。
3.修改/etc/ipf/pfil.ap 文件
此文件包含主机上网络接口卡 (network interface card, NIC) 的名称。缺省情况下,这些名称已被注释掉。对传输要过滤的网络通信流量的设备名称取消注释。
vi /etc/ipf/pfil.ap
"/etc/ipf/pfil.ap" 23 ÐУ¬371 ×Ö•û
# IP Filter pfil autopush setup
# See the autopush(1M) manpage for more information.
# Format of the entries in this file is:
#major minor lastminor modules
#iprb -1 0 pfil
#elxl -1 0 pfil
#e1000g -1 0 pfil
#bge -1 0 pfil
#nf -1 0 pfil
#fa -1 0 pfil
#ci -1 0 pfil
#el -1 0 pfil
#ipdptp -1 0 pfil
#lane -1 0 pfil
pcn -1 0 pfil
#pcelx -1 0 pfil
#spwr -1 0 pfil
4. 编辑防火墙规则
使服务器对ping没有反应 ,防止你的服务器对ping请求做出反应,对于网络安全很有好处,因为没人能够ping你的服务器并得到任何反应。TCP/IP协议本身有很多的弱点,黑客可以利用一些技术,把传输正常数据包的通道用来偷偷地传送数据。使你的系统对ping请求没有反应可以把这个危险减到最小。修改文件添加一行:
block out quick proto icmp from any to 10.1.1.8/24 icmp-type 0
说明:IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp),启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol,中文名为因特网控制报文协议。它工作在OSI的网络层,向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候,可以使用icmp-type关键字来指定ICMP协议的类型,类型的值以下几种见表1。
 |
| 表1 ICMP协议内容简介 |
所以把icmp-type设置为 0即可。
5. 启动服务
使用命令:svcadm enable svc:/network/ipfilter:default
6.使 pfil.ap配置文件生效
autopush -f /etc/ipf/pfil.ap
说明:此步骤只需要做一次,以后更改防火墙规则就不需要再做。
7. 重新引导计算机,使用命令:“reboot”。
8.使用命令再次查看IPFilter包过滤防火墙运行情况如图2 。
|
| 图2 查看IPFilter包过滤防火墙运行情况 |
从图2 可以看到IP Filter 有两个服务ipfilter 和pfil都已经打开。
9.从客户端计算机测试
下面从一台和sorlaris连接的windows 计算机使用ping 命令检测,如图3 。
|
| 图3从客户端计算机测试ping操作 |
