genfilt 命令

在线编辑

用途

添加过滤规则。

语法

genfilt -v 4|6 [ -n fid] [ -a D|P|I|L|E|H|S ] -s s_addr -m s_mask [-d d_addr] [ -M d_mask] [ -g Y|N ] [ -c protocol] [ -o s_opr] [ -p s_port] [ -O d_opr] [ -P d_port] [ -r R|L|B ] [ -w I|O|B ] [ -l Y|N ] [ -f Y|N|O|H ] [ -t tid] [ -i interface] [-D description] [-e expiration_time] [-x quoted_pattern] [-X pattern_filename ] [-C antivirus_filename]

描述

genfilt 命令向过滤规则表添加过滤规则。 由此命令生成的过滤规则叫做手动过滤规则。 可以使用 genfilt 命令或 IPsec SMIT(IP V4 或 IP V6)配置 IPsec 过滤规则。

标志

描述
-a 操作 允许以下 Action 值:
  • D (拒绝) 阻止流量。
  • P (许可) 允许流量。
  • I 将此设置为 IF 过滤规则。
  • L 将此设置为 ELSE 过滤规则。
  • E 将此设置为 ENDIF 过滤规则。
  • H 将此设置为 SHUN_HOST 过滤规则。
  • S 将此设置为 SHUN_PORT 过滤规则。
所有 IF 规则必须以关联 ENDIF 规则结束。 可以嵌套这些条件规则,但必须遵循正确的嵌套和作用域,否则将无法使用 mkfilt 命令正确装入这些规则。
-C antivirus_filename 指定抗病毒文件名。 -C 标志理解某些版本的 ClamAV 病毒数据库 (http://www.clamav.net)。
-c 协议 有效键值为:udpicmpicmpv6tcptcp/ackospfipipespahall。 值 all 表示过滤规则应用于所有协议。 协议也可以通过数字来指定(1 到 252)。 缺省值为 all。 值 tcp/ack 暗示检查设置了 ACK 标志的 TCP 包。
-D 描述 过滤器规则的简短描述文本。 这是静态过滤规则的一个可选标志,但不适用于动态过滤规则。
-d d_addr 指定目标地址。 可以是 IP 地址或主机名。 如果指定了主机名,使用名称服务器返回的该主机的第一个 IP 地址。 此值连同目标子网掩码将与 IP 包的目标地址进行比较。
-e expiration_time 指定到期时间。 到期时间是规则应保持活动的时间量(以秒计)。 expiration_time 不从数据库中除去过滤规则。 expiration_time 与处理网络流量时过滤规则处于活动状态的时间量相关。 如果未指定 expiration_time,那么过滤规则的生存时间是无限的。 如果 expiration_time 与 SHUN_PORT (-a S) 或 SHUN_HOST (-a H) 过滤规则一起指定,那么这是满足过滤规则参数后拒绝或回避远程端口或远程主机的时间量。 如果无论避免规则如何而指定该 expiration_time,那么它就是一旦将过滤规则装入内核并启动处理网络流量,过滤规则保持活动的时间量。
-f 指定分段控制。 分段控制标志指定规则应用于所有包(Y)、只应用于分段头和未分段包(H)、只应用于分段和分段头(O)或只应用于未分段包( N)。 缺省值为 Y
-g 是否应用到源路由中? 必须指定为 Y(是)或 N(否)。 如果指定了 Y,过滤规则可以用于使用源路由的 IP 包。 缺省值为 yes (Y)。 这个域仅用于许可规则。
-i 接口 指定应用过滤规则的 IP 接口名。 名称的示例为:all tr0en0lo0pp0。 缺省值为 all
-l 指定记录控制。 必须指定为 Y(是)或 N(否)。 如果指定为 Y,那么与过滤规则匹配的包将被包含在过滤日志中。 缺省值为 N (否)。
-M 指定目标子网掩码。 这用于 IP 包目标地址和过滤规则目标地址的对比中。
-M 指定源子网掩码。 这用于 IP 包源地址和过滤规则源地址的对比中。
-n 指定过滤规则标识。 新规则将添加在您指定的过滤规则“前面”。 IP V4 的标识必须大于 1,因为第一个过滤规则是由系统生成的,而且不可移动。 如果不用此标志,新规则就添加到过滤规则表的末尾。
-O 指定目标端口或 ICMP 代码操作。 这就是用于将包的目标端口 /ICMP 码和目标端口或 ICMP 码(-P 标志)进行比较的操作。 有效键值为:ltlegtgeeqneqany。 缺省值为 any。 当 -c 标志为 ospf 时,该值必须为 any
-O 指定源端口或 ICMP 类型操作。 这就是要用于将包的源端口/ICMP 类型和过滤规则中所指定的源端口或 ICMP 类型(-p 标志)进行比较的操作。 有效键值为:ltlegtgeeqneqany。 缺省值为 any。 当 -c 标志为 ospf 时,该值必须为 any
-p 指定源端口或 ICMP 类型。 这是将要用于和 IP 包的源端口(或 ICMP 类型)进行比较的值/类型。
-P 指定目标端口/ICMP 代码。 这是将要用于和 IP 包的目标端口(或 ICMP 码)进行比较的值/码。
-r 路由。 它指定规则是应用于转发包(R)、发往或来自本地主机的包(L)或同时用于两者(B)。 缺省值为 B
-s s_addr 指定源地址。 可以是 IP 地址或主机名。 如果指定了主机名,使用名称服务器返回的该主机的第一个 IP 地址。 此值连同源子网掩码将与 IP 包的源地址进行比较。
-t 指定与该过滤规则相关的通道的标识。 所有与过滤规则匹配的包都要通过指定的通道。 如果不指定此标志,规则只用于非通道流量。
-v 指定过滤规则的 IP 版本。 有效值为 46
-w 方向 指定规则是适用于传入包 (I)、传出包 (O) 还是同时适用于传入包和传出包 (B)。 缺省值为 B。 将 (O) 传出方向与 -x-X-C 模式选项配合使用是无效的。 同时指定方向 (B) 和模式选项是有效的,但是只会对包检查传入包。
-X pattern_filename 指定模式文件名。 如果多个模式与该过滤规则相关联,那么必须使用模式文件名。 模式文件名的格式必须是每行一个模式。 模式是不加引号的字符串。 当激活过滤规则时,该文件被读取一次。 有关更多信息,请参阅 mkfilt 命令。
-x 模式 指定加引号的字符串或模式。 指定的这个字符串将被解释为 ASCII 字符串,除非在它前面有一个 0x,这种情况下,它将被解释为十六进制字符串。 将 -x 模式 与网络流量进行比较。

安全性

RBAC 用户和可信AIX用户请注意:此命令可执行特权操作。 只有特权用户才能执行特权限定的操作。 有关授权和权限的更多信息,请参阅安全中的特权命令数据库。 要获取与此命令相关联的特权和权限的列表,请参阅 lssecattr 命令或 getcmdattr 子命令。