ipsec是aix类似Linux的iptables命令。
aix系统中很多配置都在/etc/inted文件中,停止inted:stopsrc -s inetd,开启startsrc -s inetd,重启refresh -s inetd 。
aix使用ipsec
确认ipsec是否在系统中启用:lsdev -l ipsec_v4
-
检查ipsec是否可以使用:lslpp -l |grep ipsec
ipsec软件包是随操作系统一起提供的 -
安装ipsec的核心扩展模块
检查核心扩展模块是否安装: lsdev -Cc ipsec
如图表示已安装核心模块。若无输出则表示需要安装核心模块。
安装指令:smitty tcpip
椎车后会有提示,根据提示鼠标到v4这一行回车(Configure IP Security (IPv4)->Start/Stop IP Security->Start IP Security)
注意 : 在此时 选项要设为 . 否则所有的网络通讯可能就会断掉。
再次检查核心模块是否安装。 -
检查系统中当前定义的过滤规则
指令:lsfilt –s –v4 –O,此指令输出结果是当前有效的过滤规则 -
新建过滤规则
新建过滤规则命令:genfilt
例如:genfilt -v 4 -a ‘P’ -s ‘172.16.15.0’ -m ‘255.255.255.0’ -d ‘172.16.58.131’ -M ‘255.255.255.0’ -g ‘y’ -c ‘all’ -o ‘any’ -p ‘0’ -O ‘eq’ -P ‘23’ -r ‘B’ -w ‘B’ -l ‘N’ -t ‘0’ -i ‘all’
(此例来自IBM网站:详情见https://www.ibm.com/developerworks/cn/aix/library/1201_zhujh_ipfilteraix/)
参数说明:
-v:值有4和6,ipv4或者ipv6;
-n:规则id;
-a(action):值有P(允许permit)和D(拒绝Deny);
-s(source address):源地址;
-m(source subnet mask):源地址掩码;
-d(destination address):目标地址;
-M(destination subnet mask):目标地址掩码;
-g():值有Y(yes)和N(no);
-c(protocol):协议,值有udp,icmp,tcp,tcp/ack,all
-o(source port/icmp operation):有效值有lt(less then),le(less than or equal to),gt(greater than),ge(greater than or equal to),eq(equal),neq(not equal),any
-p(source port/icmp type):
-O(destination port/icmp operation): ‘eq’ ;
-P(destination port/icmp type): ‘23’;
-r(routing/scope):值有L(host)和B(both);
-w(diretion):值有I(incoming packets),O(outgoing packets),B(both);
-l(logging):是否写入日志,值有Y(yes)和N(no);
-f(fragmentation control):H(fragment headers and unfragmented packets ),O(fragment headers and fragments only ),N(unfragmented packets only),Y(all pakcets)
-t ():;
-i(interface):et0,tr0,lo0等,或者all(all interfaces) -
其他过滤规则指令补充:
mkfilt: 使过滤规则生效或失效。生效:mkfilt -v4 -u 失效:mkfilt -v4 -d(保留默认规则)
lsfilt: 列出当前系统中定义的过滤规则表
chfilt: 修改过滤规则,如chfilt -v 4 -n ‘3’ -s ‘172.16.15.56’ -m '255.255.255.255
mvfilt: 调整过滤规则在表中顺序,mvfilt -v4 -p4 -n3(规则4移到第三个,移动后使用mkfilt刷新规则)
rmfilt -v4 -n3:移除规则第三个
ipsecstat : 检查 IP security 设备和状态以及对各类 IP security 包进行统计。
日志启用:mkfilt -v4 -g start 停用:mkfilt -v4 -g stop -
其他
aix应用和数据库服务器巡检:https://blog.csdn.net/cs_felix_dn/article/details/8653264
想要封堵某个地址访问指定的,一定要把目标地址的端口号与掩码也写上,否则规则会出现无法生效的现象
日志文件:
/var/adm/wtmp。记录了用户登录和访问服务器的情况信息,历史的login和lognout信息,可以用last命令访问,Last –f wtmp ;last -10;
/etc/security/failedlogin 登录失败的日志文件;
/var/adm/ipsec.log,ipsec写入的日志文件;
/tmp/xlogfile:拒绝连接信息的日志文件。