Правила брандмауэра Solaris для блокировки порта от внешнего доступа
Я пытаюсь установить правило брандмауэра в Solaris, которое должно блокировать порт от внешнего доступа. Я мог бы добиться этого, используя iptables в Linux, и хотел бы сделать то же самое и в Solaris.
После некоторого поиска в Google по ip-фильтрам в Solaris я обнаружил, что нам нужно обновить файл ipf.conf в / etc / ipf / примерно такими правилами.
разрешить быстрый протокол TCP с порта = block in proto tcpfrom any port =
Но что-то пошло не так, и к порту все еще можно получить доступ с внешнего ip.
Кто-нибудь может сказать мне, как достичь моей цели? Что пошло не так и любые документы для справки.
Ваша помощь очень ценится. Заранее благодарим,
С уважением, Srikanth
Простое правило типа:
заблокировать в прото tcp с любого на 192.168.0.62 порт = 1234
заблокирует порт 1234 для взаимодействия с IP 192.168.0.62. Затем:
#IP-фильтр svcs
ВРЕМЯ СОСТОЯНИЯ FMRI
отключено май _15 svc :/network/ipfilter :по умолчанию
#svcadm включает ipfilter
#IP-фильтр svcs
ВРЕМЯ СОСТОЯНИЯ FMRI
онлайн 11 :30 :08 svc :/network/ipfilter :по умолчанию
Вы не указали, какую версию Solaris используете.
Рассматривали ли вы возможность использования оболочек TCP для отключения/блокировки службы в этой системе?
Вероятно, излишество, но если вы используете v11, вы также можете установить сеть/брандмауэр pkg (Брандмауэр Solaris является производным от OpenBSD PF )на случай, если он удовлетворит ваши потребности.
Не уверен, что ваше правило является допустимым. Вы можете захотеть показать вывод :ipfstat -io, который будет отображать загруженные в данный момент правила.
Это может дать вам то, что вы хотите в вашем ipf.conf:
allow in quick proto tcp/udp from 127.0.0.1 to any port = <port_to_block>
block in log proto tcp/udp from any to any port = <port_to_block>
svcadm restart ipfilter
Не совсем понял, что вы имели в виду под "внешним доступом". Вышеупомянутое позволит локальному хосту подключиться к порту, но заблокирует любые другие IP-адреса. Вы также можете добавить правила, разрешающие другие локальные системы/подсети.
На сайте Oracle вы найдете документы, в которых указано, как использовать ipfilters, но, поскольку он основан на ipfilter BSD , вы также можете ознакомиться с этой документацией, а также с другими примерами, которые можно найти для Solaris. и БСД.