In vielen Umgebungen hat sich die Verwendung von LDAP etabliert. Auch unser AIX-System ist an zwei LDAP-Server (wegen Redundanz) angebunden:

10.204.37.50 ldap01
10.204.37.51 ldap02

Die beiden IPs können als 10.204.37.50/31 zusammengefasst werden, wir benötigen daher nicht für jeden LDAP-Server eigene Filter-Regeln.

Für die Kommunikation verwenden wir nur die verschlüsselte Variante über den Standard-Port 636. Die ausgehenden IP-Pakete an die beiden LDAP-Server sind über die allgemeine ausgehende Filter-Regel (siehe Alle ausgehenden IP-Pakete erlauben) schon erlaubt. Wir benötigen daher nur eine Filter-Regel für den eingehenden Verkehr von Port 636 der beiden LDAP-Server:

aix05 # genfilt -v 4 -a P -s 10.204.37.50 -m 255.255.255.254 -d 10.222.16.155 -o eq -p 636 -w I -D "allow LDAP"
Filter rule 20 for IPv4 has been added successfully.
aix05 # 

weiter