настоить firewall

Главная Форумы POWER Systems AIX/Hardware настоить firewall

В этой теме 12 ответов, 5 участников, последнее обновление  Павел 8 года/лет назад.

  • Автор
    Сообщения
  • #9060

    Вадим
    Участник

    добрый :blink:
    помогите начинающему aix админу :blush: настроить firewall: ситуация такая, есть сервер, нужно сделать так что бы с правами администратора на него могли конектиться только пару ай-пи’шников; с нескольких ай-пи’шников совсем убрать доступ к серверу
    нужна ли для этого какая-нибуть отдельная утилитка ? или это можно сделать с помощью smitty, или может быть подскажите в каком конфиговском файлике, что нужно прописать

  • #9061

    andrewk
    Участник

    smitty -> Communications Applications and Services -> TCP/IP -> Configure IP Security (IPv4) -> Advanced IP Security Configuration -> Configure IP Security Filter Rules -> Add an IP Security Filter Rule

  • #9105

    Вадим
    Участник

    to andrewk: спасибо

    но тут новоя проблемка: по умолчанию в Advanced IP Security Configuration -> List Active IP Security Filter Rules настройки такие:

    1 *** Dynamic filter placement rule for IKE tunnels *** no
    2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none

    а в Advanced IP Security Configuration -> Configure IP Security Filter Rules -> List IP Security Filter Rules

    1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no udp eq 4001 eq 4001 both both no all packets 0 all 0 none Default Rule
    2 *** Dynamic filter placement rule for IKE tunnels *** no
    0 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none Default Rule

    вопрос, почему во втором случае не отображаеться 1-ое правило ?

    к, примеру, нужно заходить на сервер только с IP 172.16.10.641 (маска 255.255.255.255), тогда

    в Advanced IP Security Configuration -> Configure IP Security Filter Rules -> Add an IP Security Filter Rule добавляем по две разрешительные записи на каждый нужный IP – одна запись на исходящий и одна запись на входящий трафик

    в Advanced IP Security Configuration -> Configure IP Security Filter Rules -> Change IP Security Filter Rules меняем тип 0-го правила с permit на deny т.е. с всёразрешающего на всёзапрещающее правило по умолчанию

    делаем Advanced IP Security Configuration -> Activate/Update/Deactivate IP Security Filter Rule -> Activate / Update

    если перестартовать ч/з Start/Stop IP Security, то долго думае, в конце выдает ошибку и зайти на сервер не возможно ни с какого IP,при этом в Advanced IP Security Configuration -> List Active IP Security Filter Rules настройки:

    1 *** Dynamic filter placement rule for IKE tunnels *** no
    2 permit 172.16.10.641 255.255.255.255 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none
    3 permit 0.0.0.0 0.0.0.0 172.16.10.641 255.255.255.255 yes all any 0 any 0 both both no all packets 0 all 0 none
    4 deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none

    а в Advanced IP Security Configuration -> Configure IP Security Filter Rules -> List IP Security Filter Rules изменились на:

    1 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 no udp eq 4001 eq 4001 both both no all packets 0 all 0 none Default Rule
    2 *** Dynamic filter placement rule for IKE tunnels *** no
    3 permit 172.16.10.641 255.255.255.255 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none
    4 permit 0.0.0.0 0.0.0.0 172.16.10.641 255.255.255.255 yes all any 0 any 0 both both no all packets 0 all 0 none
    0 deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all 0 none Default Rule

    если крутить с правилами и ставить deny в правила 3 либо 4, то при рестарте оно говорит, что правило №* должно быть permit и автоматически меняет deny на permit, и тогда естессно зайти можно с любого IP

    помогите разобраться :blush:

  • #9106

    andrewk
    Участник

    я не специалист в файрволле для aix’а, поэтому помочь вряд ли смогу. но с английским у меня вроде было последнее время не очень плохо, поэтому обращу внимание на один маленький нюанс:
    List IP Security Rules
    List Active IP Security Rules
    во втором случае показывают только активные правила и видимо то самое правило 1 является неактивным. где настраивается, какие правила активные, а какие нет – не знаю.
    и неплохо было бы увидеть ошибку, которая выдается при Activate/Update.

  • #9107

    Serg
    Участник

    судя по всему там стоит ipfilter
    http://publib.boulder.ibm.com/infocenter/aix/v6r1/index.jsp?topic=/com.ibm.aix.security/doc/security/ipsec_filters_aix.htm
    заточеные под ipsec, удалите их и создайте свои.

  • #9108

    Serg
    Участник
  • #9221

    Вадим
    Участник

    установлен aix 6.1 на дисках нет ipfl.rte, хотя говориться что он должен находиться на втором диске: “The fileset name is “ipfl.rte” and can be found on AIX 5.3 TL5 and later Expansion Pack CD #2.” может быть это из-за того что версия не 5,3
    а вообще его можно откуда-нибудь скачать его и будет ли он работать с версией 6,1 или тут нужно все ограничивать с помощью фаервола?..

  • #9222

    andrewk
    Участник

    не на втором диске, а на втором диске Expansion Pack’а.

  • #9626

    Павел
    Участник

    Всем привет!
    Имеется блейд JS43 с двумя лезвиями.
    Необходимо настроить файрвол между системами.
    Задача в принципе не сложная на первый взгляд, даже для человека, начавшего знакомство с AIX меньше месяца назад. Настроил все с помощью ipsec.
    Вроде все даже работало, пока не дошло дело до перекачки по сети большого файла.
    Оказалось, что скорость передачи порядка 100 Кб/с.
    Если ipsec оставить только на одной машине – то все нормально.

    Та же история с ipfilter.
    Вот пример. ipfilter запущен на обоих машинах,
    если отрубить на одной из них, то все нормализуется:

    [root@erptest:/]# /usr/lib/methods/cfg_ipf -u
    Major 42
    devno 0

    [root@erptest:/]# scp 172.30.2.61:/files/0* /
    0ad-r07970-alpha-win32.exe 99% 122MB 30.6MB/s 00:04

    [root@erptest:/]# /usr/lib/methods/cfg_ipf -l
    Major 42
    devno 0

    [root@erptest:/]# scp 172.30.2.61:/files/0* /
    0ad-r07970-alpha-win32.exe 0% 672KB 169.1KB/s 12:17 ETA
    Killed by signal 2.

    [root@erptest:/]# /usr/lib/methods/cfg_ipf -u
    Major 42
    devno 0

    [root@erptest:/]# scp 172.30.2.61:/files/0* /
    0ad-r07970-alpha-win32.exe 99% 122MB 30.6MB/s 00:04

    [root@erptest:/]# ipfstat -ion
    empty list for ipfilter(out)
    empty list for ipfilter(in)

  • #9627

    Alexander Tchoulkov
    Участник

    По скорости передачи. На первый взгляд похоже на APAR’ы IZ75548 IZ74390. Если у Вас включена опиция large_receive и/или chksum_offload на интерфейсах или отключите её/их или если хотите использовать large_receive/chksum_offload то обращайтесь в техническую поддержку.

  • #9628

    Павел
    Участник

    Спасибо за быстрый ответ.
    А можно подробнее, что за APAR’ы?
    Как я уже говорил, знаком с AIX меньше месяца.
    А это вообще похоже на настройку интерфейсов на самих блейдах.

    добавлено
    А… Понял, что такое IZ75548 IZ74390
    Только не могу получить доступ к этим документам.

  • #9629

    Alexander Tchoulkov
    Участник

    Заголовок APAR – “Performance degradation occurs on 10Gb adapters when the large_receive attribute and IPSEC are enabled.” они описывают ситуацию со снижением скорости передачи когда одновременно включена(ы) параметры стека TCP/IP large_receive/chksum_offload (это параметры стека TCP/IP в AIX а не интерфейсов на blade. В AIX можно изменять и настраивать некоторые параметры стека TCP/IP) и используется IPSec.

    Для того что бы получить доступ к описанию этих APAR’ов и других APAR’ов которые помечены значком ключик на Fix Central Вам как правило нужно привязать номер SWMA (Software Maintenance Agreement это контракт на программную поддержку, бывает на AIX, VIOS, HACMP, GPFS и пр.) к Вашему IBM ID. Сделать это можно на “Entitled Support Site”

    https://www-05.ibm.com/servers/eserver/ess/ProtectedServlet.wss

    Кстати там же Вы можете скачать образы AIX, VIOS, HACMP, GPFS и других продуктов которые поддерживаются по SWMA и на которые у Вас есть действующий SWMA.

  • #9633

    Павел
    Участник

    alxolo
    Огромный респект и уважуха. 🙂
    Долго искал, но нашел как изменить параметры.
    Отключил large_receive на обоих системах, все полетело.

Для ответа в этой теме необходимо авторизоваться.