AIX Simple Firewall
Prerequisities
Packages to be installed
- bos.msg.en_US.net.ipsec
- bos.net.ipsec.keymgt
- bos.net.ipsec.rte
- clic.rte.kernext
- clic.rte.lib
CLI
lslpp -l bos.msg.en_US.net.ipsec
Fileset Level State Description
----------------------------------------------------------------------------
Path: /usr/lib/objrepos
bos.msg.en_US.net.ipsec 7.2.5.0 COMMITTED IP Security Messages - U.S.
EnglishStart/Stop IP Security
CLI
# Start command
/usr/sbin/mkdev -c ipsec -t 4
/usr/sbin/mkfilt -v 4 -u -z P
# Stop command
/usr/sbin/rmdev -l ipsec_v4Smitty
smitty ipsec4 > Start/Stop IP Security > Start IP Security
- Start IP Security: [Now and After Reboot]
- Deny All Non_Secure IP Packets: [no]
Verify command
lsdev -l ipsec_v4
ipsec_v4 Available IP Version 4 Security Extension
Filter Rules
常用指令:
rmfilt -v 4 -n 3
chfilt : 變更規則
chfilt -v 4 -n 3 -s xxx.xxx.xxx.xxx : 變更規則3 的來源 IP
啟用所有規則 : mkfilt -v 4 -u
停用所有規則 : mkfilt -v 4 -d
列出所有規則 : lsfilt -v 4 -O
指令參數:
-v 4 : IPv4 網路
-n : 規則編號
-s : 來源 IP 或網段,例如 192.168.99.1 或 192.168.99.0
-m : 來源遮罩,個別 IP 填 255.255.255.255;C 網段 IP 填 255.255.255.0
-d : 目的 IP 或網段,例如 192.168.99.1 或 192.168.99.0
-M : 目的遮罩,個別 IP 填 255.255.255.255;C 網段 IP 填 255.255.255.0
-O eq -P 21 : Port 21 (FTP)
-O any -P 0 : 任意 Port (所有服務)
-l : 是否開啟稽核日誌
-i : 網卡介面
Rule #1: 針對 FTP (port 21) 限制指定來源 IP (my-linux-ip) 或網段。
genfilt -v 4 -a P -s <my-linux-ip> -m 255.255.255.255 -d <aix-server-IP> -M 255.255.255.255 -g Y -c tcp -o any -p 0 -O eq -P 21 -r B -w I -l N -f Y -i all
genfilt -v 4 -a D -s 0.0.0.0 -m 0.0.0.0 -d <aix-server-IP> -M 255.255.255.255 -g Y -c tcp -o any -p 0 -O eq -P 21 -r B -w I -l N -f Y -i all