图 3 配置文件/etc/ipf/ipf.conf添加一行

　　说明：IP 过滤协议的关键字有4种(icmp、tcp、udp、tcp/udp)，启用对协议的控制就是在协议的关键字前加proto关键字。ICMP全称Internet Control Message Protocol，中文名为因特网控制报文协议。它工作在OSI的网络层，向数据通讯中的源主机报告错误。ICMP可以实现故障隔离和故障恢复。我们平时最常用的ICMP应用就是通常被称为Ping的操作。在使用ICMP协议控制的时候，可以使用icmp-type关键字来指定ICMP协议的类型，类型的值以下几种见表1。

　　表1 ICMP协议内容简介

　　类型　名称　备注　

　　0　回波应答(Echo Reply)　不允许ping命令回应　

　　8　回波(Echo)　允许ping命令回应　

　　9　路由器公告(Router dvertisement)　　

　　10　路由器选择(Router Selection)　　

　　所以把icmp-type设置为 0即可。　

　　5. 启动服务

　　使用命令：svCADm enable svc:/network/ipfilter:default

　　6. 使 pfil.ap配置文件生效

　　autopush -f /etc/ipf/pfil.ap

　　说明：此步骤只需要做一次，以后更改防火墙规则就不需要再做。

　　7. 重新引导计算机，使用命令：“init 6。

　　8. 使用命令再次查看IPFilter包过滤防火墙运行情况 。

　　图四 使用命令再次查看IPFilter包过滤防火墙运行

　　四、IPFilter包过滤防火墙规则编写方法

　　在创建IPFilter包过滤防火墙规则的第一步是与用户咨询确定一个可接受的服务列表。许多公司会有—个可接受的使用策略，该策略会控制哪些端口应当可用和应当赋予用户启动的服务的权限。在你确定了开放的流入端口和外出的端口需求之后，最好是编写一条规则：首先拒绝全部数据包，然后编写另外的规则：允许使用的端口。你还必须设置两个方向启用允许的服务。例如．用户同时接收和发送电子邮件通常是必要的，于是你需要对sendmail(端口25)包括一条入站和出站规则。

标签： 防火墙