我們能夠在Windows下使用防火墻來設置對網絡的訪問，在Redhat中也能用ipTables防火墻來配置各種進出數據包。同樣在Solaris下也能配置防火墻。就是ipFilter。今天我們一起來配置一下ipFilter，實現對其他機器的訪問限制。 服務名為svc:/network/ipfilter:default。默認是禁用的： ipFilter的配置文件為/etc/ipf/ipf.conf。我們來新建一條規(guī)則，禁止192.168.0.168訪問服務器端的ftp。 #vi /etc/ipf/ipf.conf 添加內容： block in log quick proto tcp from 10.4.128.0/24 to any port = ftp 然后重啟服務，并查看是否啟動。 現在我們來測試一下，防火墻是否生效。 哇塞，真的不能FTP啦？是不是ftp服務出問題了呢？我們換用其他IP地址來測試一下。 哦，看來ipFilter真的生效了！ 既然這樣的話，我們就來看看剛才添加的那條規(guī)則吧。其實規(guī)則也很簡單： 禁止就是block 通過就是pass 進來就是in 出去就是out 那么配合起來使用就行了，再加上可以指定在哪個網卡上使用，也就是再加個on e1000g0，另外還有一個關鍵字就是all，這是匹配(禁止或者通過)所有的包，組合起來的例子就是： block in on e1000g0 all (禁止所有的包進入) 還可以針對網段、IP以及端口的配置，就是在包的后面加如from .... to .... port = ..就可以，等號的地方可以改成其他運算符，如<、> 網段：block in log proto tcp from 192.168.0.0/24 to any port = ftp 地址：block in log proto tcp from 192.168.0.168/32 to any port = ftp 對于協議的控制，它一樣可以做的很好。協議的關鍵字有4種(icmp、tcp、udp、tcp/udp)，啟用對協議的控制就是在協議的關鍵字前加proto關鍵字如: block in on e1000g0 proto icmp from any to any 在使用ICMP協議控制的時候，可以使用icmp-type關鍵字來指定ICMP協議的類型，類型的值有4種： ICMP Type Value Keyword Echo reply 0 echorep Echo request 8 echo Router advertisement 9 routerad Router solicitation 10 routersol 例如：禁止對PING的響應 block out quick proto icmp from any to 10.4.128.163/32 icmp-type 0 在這里要解釋一下quick的用法，這是個很好用的關鍵字，假如你的防火墻有100條規(guī)則，最有用的可能只有前10條，那么quick是非常有必要的。 pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet block in log all from any to any 假如我們希望禁止服務器的所有包而只希望一個IP只能夠telnet的話，那么就可以加上quick關鍵字，quick的作用是當包符合這條規(guī)則以后，就不再向下進行遍歷了。如果沒有quick的情況下，每一個包都要遍歷整個規(guī)則表，這樣的開銷是十分大的，但是如果濫用quick也是不明智的，因為它畢竟不會產生日志。 今天的內容超級簡單哦、大家能夠輕松一點了！

轉載于:https://blog.51cto.com/xiaoduan/154563

總結

以上是生活随笔為你收集整理的跟小段一起学Solaris（20）---ipFilter防火墙的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。