启用 Solaris IP 过滤器后,活动和非活动的包过滤规则集都可以驻留在内核中。活动规则集确定正在对传入包和传出包执行的过滤。非活动规则集也存储规则,但不会使用这些规则,除非使非活动规则集成为活动规则集。可以管理、查看和修改活动和非活动的包过滤规则集。查看装入到内核中的活动包过滤规则集,使用命令:ipfstat –io 。
如果希望查看非活动的包过滤规则集。可以同使用命令:
# ipfstat -I –io
2. 激活不同的包过滤规则集
以下示例显示如何将一个包过滤规则集替换为另一个包过滤规则集。
# ipf -Fa -f filename
活动规则集将从内核中删除。filename 文件中的规则将成为活动规则集。
3. 将规则附加到活动的包过滤规则集
以下示例显示如何从命令行将规则添加到活动的包过滤规则集。
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
# echo "block in on dmfe1 proto tcp from 10.1.1.1/32 to any" | ipf -f -
# ipfstat -io
empty list for ipfilter(out)
block in log quick from 10.0.0.0/8 to any
block in on dmfe1 proto tcp from 10.1.1.1/32 to any
4、监控整个IP管理器防火墙查看状态表
使用没有参数的ipfstat命令即可,图5 是整个IP过滤器防火墙查看状态表的输出。
图5 整个IP过滤器防火墙查看状态表的输出
另外可以使用命令:“ipfstat -s” 查看 Solaris IP 过滤器的状态统计,使用命令:“ipnat -s” 查看 Solaris IP 过滤器的NAT状态统计。使用 ippool -s 命令查看地址池统计。
七、查看 Solaris IPFilter包过滤防火墙的日志文件
使用命令如下:
ipmon –o -a [S|N|I] filename
参数说明:
S :显示状态日志文件。
N:显示 NAT 日志文件。
I:显示常规 IP 日志文件。
-a:显示所有的状态日志文件、NAT 日志文件和常规日志文件。
清除包日志文件使用命令:
# ipmon -F
八、使用fwbuilder管理防火墙
事实上,如果读者们不是很熟悉Solaris中IPFilter命令的使用方式,在这里介绍一个不错的图形管理程序,就是fwbuilder (http://www.fwbuilder.org/),可以从http://www.fwbuilder.org/nightly_builds/取得读者们所需要的版本或是原始码。Fwbuilder 是一个相当有弹性的防火墙图形接口,它不仅可以产生IPFilter 的规则,也可以产生 Cisco 的 FWSM (FireWall Service Module ,用于 Cisco 高阶第三层交换机 6500 及 7600 系列 ) 及 PIX 的规则,更有趣的是,每次我们改变某台机器的设定后,它会使用 RCS 来做版本控管,相当实用。fwbuilder所支援的防火牆有:FWSM、ipfilter、ipfw、iptables、PF、PIX。
1、安装qt库
Qt 是一个跨平台的 C 图形用户界面库,由挪威 TrollTech 公司出品,目前包括Qt, 基于 Framebuffer 的 Qt Embedded,快速开发工具 Qt Designer,国际 化工具 Qt Linguist 等部分 Qt 支持所有 Unix 系统,当然也包括 Solaris,还支持 WinNT/Win2k/2003 平台。
#wget http://ma.yer.at/fwbuilder/qt-3.3.4-sol10-intel-local.gz
# pkgadd -d qt-3.3.4-sol10-intel-local.pkg
2、安装openssl
#wget http://mirrors.easynews.com/sunfreeware/i386/10/openssl-0.9.7g-sol10-intel-local.gz
#pkgadd -d openssl-0.9.7g-sol10-intel-local.pkg
3、安装snmp
简单网络管理协议(SNMP)是目前TCP/IP网络中应用最为广泛的网络管理协议。1990年5月,RFC 1157定义了SNMP(simple network management protocol)的第一个版本SNMPv1。RFC 1157和另一个关于管理信息的文件RFC 1155一起,提供了一种监控和管理计算机网络的系统方法。因此,SNMP得到了广泛应用,并成为网络管理的事实上的标准。大多数网络管理系统和平台都是基于SNMP的。
#wget http://mirrors.easynews.com/sunfreeware/i386/10/netsnmp-5.1.4-sol10-x86-local.gz
#pkgadd -d netsnmp-5.1.4-sol10-x86-local.pkg
4、安装gtk
GTK 是一种图形用户界面(GUI)工具包。也就是说,它是一个库(或者,实际上是若干个密切相关的库的集合),它支持创建基于 GUI 的应用程序。可以把 GTK 想像成一个工具包,从这个工具包中可以找到用来创建 GUI 的许多已经准备好的构造块。最初,GTK 是作为另一个著名的开放源码项目 —— GNU Image Manipulation Program (GIMP) —— 的副产品而创建的。在开发早期的 GIMP 版本时,Peter Mattis 和 Spencer Kimball 创建了 GTK(它代表 GIMP Toolkit),作为 Motif 工具包的替代,后者在那个时候不是免费的。(当这个工具包获得了面向对象特性和可扩展性之后,才在名称后面加上了一个加号。)这差不多已经 10 年过去了。今天,在 GTK 的最新版本 —— 2.8 版上,仍然在进行许多活动,同时,GIMP 无疑仍然是使用 GTK 的最著名的程序之一,不过现在它已经不是惟一的使用 GTK 的程序了。已经为 GTK 编写了成百上千的应用程序,而且至少有两个主要的桌面环境(Xfce 和 GNOME)用 GTK 为用户提供完整的工作环境。
文章整理:西部数码--专业提供域名注册、虚拟主机服务
http://www.west263.com
以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!
