正如windows上的IPsec一样,AIX的IPsec也有限制IP登陆的功能。当然这只是它功能的一小部分。它是集认证、完整性检查、加密为一体的一个通道协议。我们这里只是利用它对IP数据包的过滤功能来限制IP登陆。
在使用ipsec之前,先用激活它。smitty ips4_start可以完成。
对于过滤功能,最重要的步骤是设置过滤规则。Ipsec之前已经有些默认的规则了。
lsfilt -a -v4 -O
1 *** Dynamic filter placement rule for IKE tunnels *** no
2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all
可以看出,默认是允许所有通信。过滤规则是从上往下来匹配,如果上面匹配完成,则跳过下面所有规则。这和Linux的iptables是一致的。所以你得考虑你的规则的位置。
如果我们只想让192.168.1.202这个IP能够telnet,其他的IP都不行。我们可以在smitty ips4_conf_filter来添加两个规则,一个规则是允许192.168.1.202登陆23端口,另外一个规则是禁止所有IP登陆23端口,注意先后顺序,添加完如下:
4 permit 192.168.1.202 255.255.255.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both bo
th no all packets 0 all 0 none
5 deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both both no all pack
ets 0 all 0 none
添加完成后,必须激活后才能生效:smitty ips4_upd_filter。激活前必须详细检查配置,避免规则设置错误,导致所有IP都无法登陆.
阅读(2862) | 评论(0) | 转发(0) |