AIX Simple Firewall

Prerequisities

Packages to be installed

• bos.msg.en_US.net.ipsec
• bos.net.ipsec.keymgt
• bos.net.ipsec.rte
• clic.rte.kernext
• clic.rte.lib

CLI

lslpp -l bos.msg.en_US.net.ipsec

  Fileset                      Level  State      Description
  ----------------------------------------------------------------------------
Path: /usr/lib/objrepos
  bos.msg.en_US.net.ipsec    7.2.5.0  COMMITTED  IP Security Messages - U.S.
                                                 English

Start/Stop IP Security

CLI

# Start command
/usr/sbin/mkdev -c ipsec -t 4
/usr/sbin/mkfilt -v 4 -u -z P

# Stop command
/usr/sbin/rmdev -l ipsec_v4

Smitty

smitty ipsec4 > Start/Stop IP Security > Start IP Security 

• Start IP Security: [Now and After Reboot]
• Deny All Non_Secure IP Packets: [no]

Verify command

lsdev -l ipsec_v4

ipsec_v4 Available  IP Version 4 Security Extension

Filter Rules

常用指令：

• genfilt : 新增規則
• rmfilt : 刪除規則
  • rmfilt -v 4 -n 3 : 移除規則 3
• chfilt : 變更規則
  • chfilt -v 4 -n 3 -s xxx.xxx.xxx.xxx : 變更規則3 的來源 IP
• 啟用所有規則 : mkfilt -v 4 -u 
• 停用所有規則 : mkfilt -v 4 -d 
• 列出所有規則 : lsfilt -v 4 -O 
• NOTE:TIPs
  • 規則異動後，必須重啟規則才能生效。
  • 白名單模式：先 Permit 特定來源，再 Deny 所有來源

指令參數：

• -v 4 : IPv4 網路
• -a : Action，P (Permit), D (Deny)
• -n : 規則編號
• -s : 來源 IP 或網段，例如 192.168.99.1 或 192.168.99.0
• -m : 來源遮罩，個別 IP 填 255.255.255.255；C 網段 IP 填 255.255.255.0
• -d : 目的 IP 或網段，例如 192.168.99.1 或 192.168.99.0
• -M : 目的遮罩，個別 IP 填 255.255.255.255；C 網段 IP 填 255.255.255.0
• -O eq -P 21 : Port 21 (FTP)
• -O any -P 0 : 任意 Port (所有服務)
• -l : 是否開啟稽核日誌
• -i : 網卡介面

Rule #1: 針對 FTP (port 21) 限制指定來源 IP (my-linux-ip) 或網段。

genfilt -v 4 -a P -s <my-linux-ip> -m 255.255.255.255 -d <aix-server-IP> -M 255.255.255.255 -g Y -c tcp -o any -p 0 -O eq -P 21 -r B -w I -l N -f Y -i all

genfilt -v 4 -a D -s 0.0.0.0 -m 0.0.0.0 -d <aix-server-IP> -M 255.255.255.255 -g Y -c tcp -o any -p 0 -O eq -P 21 -r B -w I -l N -f Y -i all