这次主要说一下Ipfilter(Solaris10) (以下内容请下载附件视频后,配合看会更加明白一些!)
命令我就不打了
看,现在的SSH和ping都是可以的
下面我们来改下
编辑/etc/ipf/pfil.ap 文件
vi /etc/ipf/pfil.ap
重启network/pfil 激活对/etc/ipf/pfil.ap 文件所做的更改
svcadm disable pfil
svcadm enable pfil
从内核中删除活动规则集。
ipf -Fa此命令取消激活所有的包过滤规则
删除传入包的过滤规则。
ipf -Fi此命令取消激活传入包的包过滤规则
删除传出包的过滤规则。
ipf -Fo此命令取消激活传出包的包过滤规则。
禁用包过滤,并允许所有包传入网络。
ipf -D
ipf -D 命令从规则集中清除规则。重新启用过滤时,必须将规则添加到规则集
显示装入到内核中的活动包过滤规则集的输出。
ipfstat -io
非活动的包过滤规则集的输出。
ipfstat -I -io
block in log proto tcp from 172.16.103.242/32 to any port = ssh
block in on pcn0 proto icmp from any to any
svcadm disable ipfilter
svcadm enable ipfilter
激活包过滤 ipf -f filename
如果在不同的位置有不同的包就需要这个了
看,这样就起到防火墙的作用了
成功!!!!!!!!!!!!
创建包过滤规则:
action [in|out] option keyword, keyword...
1. 每个规则都以操作开头。如果包与规则匹配,则Solaris IP 过滤器将操作应用于该包
以下列表包括应用于包的常用操作。
block 阻止包通过过滤器。
pass 允许包通过过滤器。
log 记录包但不确定是阻止包还是传递包。使用ipmon 命令可查看日志。
count 将包包括在过滤器统计信息中。使用ipfstat 命令可查看统计信息。
skip number 使过滤器跳过number 个过滤规则。
auth 请求由验证包信息的用户程序执行包验证。该程序会确定是传递包
还是阻止包。
preauth 请求过滤器查看预先验证的列表以确定如何处理包。
2. 操作后面的下一个单词必须是in 或out。您的选择将确定是将包过滤规则应用于传入包还是
应用于传出包。
3. 接下来,可以从选项列表中进行选择。如果使用多个选项,则这些选项必须采用此处显示的顺序
log 如果规则是最后一个匹配规则,则记录包。使用ipmon 命
令可查看日志。
quick 如果存在匹配的包,则执行包含quick 选项的规则。所有
进一步的规则检查都将停止。
on interface-name 仅当包移入或移出指定接口时才应用规则。
dup-to interface-name 复制包并将interface-name 上的副本向外发送到选择指定的
IP 地址。
to interface-name 将包移动到interface-name 上的外发队列。
4. 指定选项后,可以从确定包是否与规则匹配的各关键字中进行选择。必须按此处显
示的顺序使用以下关键字。
tos 基于表示为十六进制或十进制整数的服务类型值,对包进行过
滤。
ttl 基于包的生存时间值与包匹配。在包中存储的生存时间值指明
了包在被废弃之前可在网络中存在的时间长度。
proto 与特定协议匹配。可以使用在/etc/protocols 文件中指定的任
何协议名称,或者使用十进制数来表示协议。关键字tcp/udp
可以用于与TCP 包或UDP 包匹配。
from/to/all/any 与以下任一项或所有项匹配:源IP 地址、目标IP 地址和端口
号。all 关键字用于接受来自所有源和发往所有目标的包。
with 与和包关联的指定属性匹配。在关键字前面插入not 或no 一
词,以便仅当选项不存在时才与包匹配。
flags 供TCP 用来基于已设置的TCP 标志进行过滤。有关TCP 标志
的更多信息,请参见ipf(4) 手册页。
icmp-type 根据ICMP 类型进行过滤。仅当proto 选项设置为icmp 时才使
用此关键字;如果使用flags 选项,则不使用此关键字。
keep keep-options 确定为包保留的信息。可用的keep-options 包括state 选项和
frags 选项。state 选项会保留有关会话的信息,并可以保留在
TCP、UDP 和ICMP 包中。frags 选项可保留有关包片段的信
息,并将该信息应用于后续片段。keep-options 允许匹配包通
过,而不会查询访问控制列表。
head number 为过滤规则创建一个新组,该组由数字number 表示。
group number 将规则添加到编号为number 的组而不是缺省组。如果未指定其
他组,则将所有过滤规则放置在组0 中。
Ipfilter.rar 
不错的东西,分享了~~