IP security配置2

　　5. 增加另一个过滤规则以拒绝其它所有向10.110.157.151发出的ftp请求：

　　Add an IP Security Filter Rule

　　* Rule Action -----------------------------------[deny]+

　　* IP Source Address -----------------------------[0.0.0.0]

　　* IP Source Mask --------------------------------[0.0.0.0]—

　　IP Destination Address ------------------------[10.110.157.151]—

　　IP Destination Mask ---------------------------[255.255.255.255] *

　　Apply to Source Routing? (PERMIT/inbound only) [yes] +

　　* Protocol --------------------------------------[all]+

　　* Source Port / ICMP Type Operation -------------[any] +

　　* Source Port Number / ICMP Type ----------------[0] #

　　* Destination Port / ICMP Code Operation --------[eq]+

　　* Destination Port Number / ICMP Type -----------[21]#

　　* Routing ---------------------------------------[both]+

　　* Direction -------------------------------------[both]+

　　* Log Control -----------------------------------[no] +

　　* Fragmentation Control ------------------------ [all packets]+

　　* Interface ------------------------------------ [all] +

　　6. 激活设置的过滤规则：

　　# smitty ipsec4---> Advanced IP Security Configuration----> Activate/Update/Deactivate IP ---->Security Filter Rule ---------> Activate / Update

　　7. 上面的操作进行完后，用户将只能从10.152.129.49 ftp至 10.110.157.151，任何其它机器试图ftp至10.110.157.151的操作将失败。

　　注：步骤3所涉及的，任何机器都有这两条默认规则。规则1是允许IPSec跟其他设备通讯的一个规则。NewOak公司制订了IPSec的规则，利用4001端口和别的利用IPSec的设备通信，现在保留这个通信信息，是为了历史兼容。 规则2保证默认情况下，所有网络传输可以正常进行。当安装完操作系统后是肯定存在的。但是部分局点执行lsdev-Cc ipsec发现

　　ipsec_v4 Available

　　Cannot get IPv4 default filter rule.

　　Cannot change default rule for IPv4 in ODM.

　　Cannot get IPv4 default filter rule

　　可能是因为在smitty ipsec4菜单当中，这两条规则是被当作普通规则，可能安装后被认为删除了。出现这种情况，你是无法进行设置任何新的规则的。如果希望修复该规则并回到缺省状态，可以使用smitty remove 删除对应的文件包，然后从安装光盘安装该包。并且打补丁到最新就可以解决

　　2.2 FTP服务

　　可通过以下两种方法进行限制：

　　1、直接编辑 /etc/ftpusers 文件，将被禁止进行ftp至AIX服务器操作的用户名列在该文件中，每个用户名列一行。

　　# vi /etc/ftpusers

　　2、通过SMIT菜单设置：

　　smitty ---> Communications Applications and Services ---> TCP/IP ---> Further Configuration ---> Server Network Services ---> Remote Access --->

　　Restrict File Transfer Program Users (/etc/ftpusers) ---> Add a Restricted User

　　* Name of Local USER ID [tstusr] <-- 在此处输入要限制的用户名。