Для ipfilter есть служба, которую можно отключить или включить. Однако меня беспокоит, что ipfilter может быть процессом, который прекратит фильтрацию, если он был убит, разбился или по другим причинам не запущен. Это просто так?
Как и другие службы Solaris, ipfilter будет автоматически перезапущен в случае сбоя или в маловероятном случае сбоя. Однако пользовательская часть ipfilter состоит только из инструментов мониторинга (ipmon и svc.ipfd). Логика фильтрации находится в ядре Solaris, поэтому она не может аварийно завершить работу (за пределами системной паники или завершения работы).
Сервис ipfilter SMF позаботится о нескольких вещах:
Вы можете получить манифест службы с помощью:
svccfg export ipfilter
Скрипт, который выполняет всю работу: / lib / svc / method / ipfilter
Вот пример:
# svcs -a | grep ipfilter disabled 20:52:09 svc:/network/ipfilter:default # grep -v \# /etc/ipf/ipf.conf pass in from any to any # modinfo | grep ipf # svcadm enable ipfilter # modinfo | grep ipf 229 f9b3f000 24238 165 1 ipf (IP Filter: v4.1.9) # ipfstat -io empty list for ipfilter(out) pass in from any to any # svcadm disable ipfilter # modinfo | grep ipf # ipfstat -io empty list for ipfilter(out) empty list for ipfilter(in)
Если вы хотите, чтобы IP-фильтрация работала, убедитесь, что служба IPFilter SMF включена и в /etc/ipf/ipf.conf есть все необходимые правила.
Он загружен в ядро. На самом деле это не Solaris, а проект с открытым исходным кодом: