如何為Solaris服務器配置款安全的防火墻(3)

如何為Solaris服務器配置款安全的防火墻

　　2、方法2

　　通俗來說就是：禁止是block ，通過是pass ，進入流量是in，出去流量是out 。然后配合起來使用就行了，再加上可以指定在哪個網卡上使用，也就是再加個on pcn0，另外還有一個關鍵字就是all，這是匹配(禁止或者通過)所有的包。基于IP地址和防火墻接口的基本過濾方式：

　　block in quick on hme0 from 192.168.0.14 to any

　　block in quick on hme0 from 132.16.0.0/16 to any

　　pass in all

　　應用此規則將阻止通過hme0口來自于192.168.0.14和132.16.0.0網段的所有包的進入，但是允許其他網段的包進入到防火墻，同時對出去的包不作任何限制。

　　3、方法3：基于IP地址和防火墻接口的完全雙向過濾方式：

　　block out quick on hme0 from any to 192.168.0.0/24

　　block out quick on hme0 from any to 172.16.0.0/16

　　block in quick on hme0 from 192.168.0.0/24 to any

　　block in quick on hme0 from 172.16.0.0/16 to any

　　pass in all

　　應用此規則后將阻止通過hme0口來自于192.168.0.0和172.16.0.0網段的所有包的進入和外出，但是允許其他網段的包進入到防火墻，同時對出去的包不作任何限制。

　　4、方法4

　　使用“port”關鍵字對TCP和UDP的端口進行過濾：

　　block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 513

　　block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 8080

　　block in log quick on hme0 proto tcp from any to 192.168.0.0/24 port = 23

　　pass in all

　　應用此規則后將阻止從192.168.0.0網段通過8080和23端口對防火墻內的數據通信，但是允許其他網段的包進入到防火墻，同時對出去的包不作任何限制。

　　5、方法5

　　quick關鍵字使用提示：假如你的防火墻有100條規則，最有用的可能只有前10條，那么quick是非常有必要的。

　　pass in log quick proto tcp from 10.4.128.163/32 to any port = telnet

　　block in log all from any to any

　　假如你希望禁止服務器的所有包而只希望一個IP只能夠telnet的話，那么就可以加上quick關鍵字，quick的作用是當包符合這條規則以后，就不再向下進行遍歷了。如果沒有quick的情況下，每一個包都要遍歷整個規則表，這樣的開銷是十分大的，但是如果濫用quick也是不明智的，因為它畢竟不會產生日志。

　　6、管理 Solaris IP 過濾器的 NAT 規則

　　查看活動的 NAT 規則。

　　# ipnat -l

　　刪除當前的 NAT 規則。

　　# ipnat -C

　　將規則附加到 NAT 規則

　　在命令行上使用 ipnat -f - 命令，將規則附加到 NAT 規則集。

　　# echo "map dmfe0 192.168.1.0/24 -> 20.20.20.1/32" | ipnat -f -

　　五、關閉 Solaris IP 過濾防火墻的方法

　　有些情況可能希望取消激活或禁用包過濾，例如要進行測試另外在認為系統問題是由 Solaris IP 過濾器所導致時，對這些問題進行疑難解答。首先成為管理員權限，

　　禁用包過濾，并允許所有包傳入網絡的命令：

　　# ipf –D

　　取消激活 Solaris IP 過濾器規則方法：

　　從內核中刪除活動規則集。

　　# ipf -Fa

　　此命令取消激活所有的包過濾規則。

　　刪除傳入包的過濾規則。

　　# ipf -Fi

　　此命令取消激活傳入包的包過濾規則。

　　刪除傳出包的過濾規則。

　　# ipf -Fo

　　此命令取消激活傳出包的包過濾規則。