Chinaunix首页 | 论坛 | 博客
  • 博客访问: 547776
  • 博文数量: 32
  • 博客积分: 5359
  • 博客等级: 大校
  • 技术积分: 1535
  • 用 户 组: 普通用户
  • 注册时间: 2005-01-04 20:39
文章分类

全部博文(32)

文章存档

2011年(1)

2010年(1)

2009年(6)

2008年(24)

我的朋友

分类:

2008-08-06 09:05:23

    为LU()上的需求写的一个IPSEC使用的例子。

一、 启动IPSEC:
# smit ipsec4
-> Start/Stop IP Security
----> Start IP Security ->

Start IP Security

Type or select values in entry fields.
Press Enter AFTER making all desired changes.

--------------------------------[Entry Fields]
Start IP Security -------------[Now and After Reboot] +
Deny All Non_Secure IP Packets [no] ------------------+

二、将下面的脚本直接粘到相关机器的TELNET窗口里即可,可根据需要先更改第一行IP=99.1.72.227,及随后的具体规则:
IP=99.1.72.227
cat <ipsec.sh
#清空所有访问规则设置
rmfilt -v 4  -n 'all'

#允许XXX 99.1.70.78、XXX 99.1.70.94、XXX 99.1.70.115访问
genfilt -v 4  -a 'P' -s '99.1.70.78' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'
genfilt -v 4  -a 'P' -s '99.1.70.94' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'
genfilt -v 4  -a 'P' -s '99.1.70.94' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'
genfilt -v 4  -a 'P' -s '99.1.70.115' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'

#禁止99.1.72.61访问本机的FTP、TELNET服务
genfilt -v 4  -a 'D' -s '99.1.72.61' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '21' -r 'B' -w 'B' -l 'N' -t '0' -i 'all' 
genfilt -v 4  -a 'D' -s '99.1.72.61' -m '255.255.255.255' -d '$IP' -M '255.255.255.255' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '23' -r 'B' -w 'B' -l 'N' -t '0' -i 'all' 

#允许UAT网段99.1.72.0访问
genfilt -v 4  -a 'P' -s '99.1.72.0' -m '255.255.255.0' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'

#禁止掉其余的各种访问
genfilt -v 4  -a 'D' -s '0.0.0.0' -m '0.0.0.0' -d '$IP' -M '255.255.255.255' -g 'y' -c 'all' -o 'any' -p '0' -O 'any' -P '0' -r 'B' -w 'B' -l 'N' -t '0' -i 'all'  

#激活新访问规则设置
mkfilt -v 4 -u
lsfilt -s -v 4 -a -O
!

chmod +x ipsec.sh
./ipsec.sh


========================================================================
任何形式的转载,请写明出处:
email:
blog:    http://www.cublog.cn/u/739/
========================================================================

阅读(3685) | 评论(4) | 转发(0) |
给主人留下些什么吧!~~

chinaunix网友2008-12-03 13:25:42

cat <ipsec.sh XXX ! 是生成一个文件ipsec.sh,内容是XXX

chinaunix网友2008-12-03 13:22:57

我只要在$IP的两边加了',就会出现如下 bash-3.00# ./ipsec.sh 10.1.13.81 Bad destination address "$IP". bash-3.00# 另外,请问cat <ipsec.sh是干啥用的?thanks

chinaunix网友2008-12-03 13:03:43

我没遇到你说的问题啊

chinaunix网友2008-12-03 11:52:13

马老大,我测试了一下,在$IP的两边,不能有',否则不识别。 我的实现方式是在脚本前加IP=$1,然后执行时用./ipsec.sh 10.1.13.81