我有一台Global Zone,建置有兩台Non-global zones,我想讓Non-global zones不要連線到192.16.1.199這個IP。
一開始我依照教學在Non-global zones設定ipf.conf並啟用ipfilter,但是沒有成功,一直都處在maintenance模式。
後來在一篇文章中看到可以在Global Zone設定ipfilter,而其底下的Non-global zones都會套用,所以試了一下,果然成功了。
首先登入Global Zone,設定/etc/ipf/ipf.conf,並加入下列條件,來阻擋向192.168.1.199這個IP發送封包。
block out log from any to 192.168.1.199
如果要阻擋來自於192.168.1.199的封包,則改為:
block in log from 192.168.1.199 to any
完成設定值後,將ipfilter啟動:
# svcadm enable svc:/network/ipfilter:default
查看ipfilter的狀況:
# svcs -a |grep "ipfilter"
online 13:12:39 svc:/network/ipfilter:default
目前已經啟用了,接著直接ping 192.168.1.199測試,在Global Zone中已經無回應了。
再到兩台Non-global zones,一樣測試ping,終於也是無回應了。
