Chinaunix首页 | 论坛 | 博客
  • 博客访问: 25833781
  • 博文数量: 271
  • 博客积分: 10025
  • 博客等级: 上将
  • 技术积分: 3358
  • 用 户 组: 普通用户
  • 注册时间: 2007-11-12 15:28
文章分类

全部博文(271)

文章存档

2010年(71)

2009年(164)

2008年(36)

我的朋友

分类:

2008-09-02 20:21:36

正如windows上的IPsec一样,AIX的IPsec也有限制IP登陆的功能。当然这只是它功能的一小部分。它是集认证、完整性检查、加密为一体的一个通道协议。我们这里只是利用它对IP数据包的过滤功能来限制IP登陆。

在使用ipsec之前,先用激活它。smitty ips4_start可以完成。

对于过滤功能,最重要的步骤是设置过滤规则。Ipsec之前已经有些默认的规则了。

lsfilt -a -v4 -O
1 *** Dynamic filter placement rule for IKE tunnels *** no
2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all

可以看出,默认是允许所有通信。过滤规则是从上往下来匹配,如果上面匹配完成,则跳过下面所有规则。这和Linux的iptables是一致的。所以你得考虑你的规则的位置。

如果我们只想让192.168.1.202这个IP能够telnet,其他的IP都不行。我们可以在smitty ips4_conf_filter来添加两个规则,一个规则是允许192.168.1.202登陆23端口,另外一个规则是禁止所有IP登陆23端口,注意先后顺序,添加完如下:

4 permit 192.168.1.202 255.255.255.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both bo
th no all packets 0 all 0 none
5 deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both both no all pack
ets 0 all 0 none

添加完成后,必须激活后才能生效:smitty ips4_upd_filter。激活前必须详细检查配置,避免规则设置错误,导致所有IP都无法登陆.
阅读(2862) | 评论(0) | 转发(0) |
给主人留下些什么吧!~~