aix的IPSEC

正如windows上的IPsec一样，AIX的IPsec也有限制IP登陆的功能。当然这只是它功能的一小部分。它是集认证、完整性检查、加密为一体的一个通道协议。我们这里只是利用它对IP数据包的过滤功能来限制IP登陆。

在使用ipsec之前，先用激活它。smitty ips4_start可以完成。

对于过滤功能，最重要的步骤是设置过滤规则。Ipsec之前已经有些默认的规则了。

lsfilt -a -v4 -O

1 *** Dynamic filter placement rule for IKE tunnels *** no

2 permit 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 any 0 both both no all packets 0 all

可以看出，默认是允许所有通信。 过滤规则是从上往下来匹配，如果上面匹配完成，则跳过下面所有规则。这和Linux的iptables是一致的。所以你得考虑你的规则的位置。

如果我们只想让192.168.1.202这个IP能够telnet，其他的IP都不行。我们可以在smitty ips4_conf_filter来添加两个规则，一个规则是允许192.168.1.202登陆23端口，另外一个规则是禁止所有IP登陆23端口,注意先后顺序，添加完如下：

4 permit 192.168.88.159 255.255.255.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both bo

th no all packets 0 all 0 none

5 deny 0.0.0.0 0.0.0.0 0.0.0.0 0.0.0.0 yes all any 0 eq 23 both both no all pack

ets 0 all 0 none

添加完成后，必须激活后才能生效：smitty ips4_upd_filter。激活前必须详细检查配置，避免规则设置错误，导致所有IP都无法登陆