我有管理一台Solaris 10的伺服器，zone_G是Global Zones，其中有兩個Non-Global Zones，分別是zone_A、zone_B

因為zone_A是Oracle EBS的測試區，不定時會將正式區備份檔還原到zone_A，其還原的步驟中有幾個地方要小心設定，避免連到正式區。

所以一直以來都想要限制zone_A，以免不小心影響到正式區，最初我依照教學在Non-global zones設定ipf.conf並啟用ipfilter，但是沒有成功。

後來在一篇文章中看到可以在Global Zone設定ipfilter，而其底下的Non-global zones都會套用，我試著設定，果然成功了。

1、登入zone_G，設定/etc/ipf/ipf.conf，並加入條件，阻擋向192.168.1.199發送及接收。

block out log from any to 192.168.1.199
block in log from 192.168.1.199 to any

完成設定值後，將ipfilter啟動：

# svcadm enable svc:/network/ipfilter:default

查看ipfilter的狀況：

# svcs -a |grep "ipfilter"
online  13:12:39 svc:/network/ipfilter:default

看起來ipfilter狀態是online，不像之前在zone_A，一直都是maintenance模式

接著直接ping 192.168.1.199測試，在Zone_G中已經無回應了。

再到兩台zones_A、zone_B，一樣測試ping，終於也是無回應了。