Under Construction

Arbeiten mit AIX -> AIX-SicherheitIP-Filterung mit IPsecAbsichern eines AIX-Systems gegen unerwünschte Zugriffe über das Netzwerk

Erlauben von NIM-Verkehr

Die Kommunikation zwischen NIM-Clients und NIM-Master ist vielfältig, siehe Network Installation Manager. Nachfolgend schauen wir uns im Detail alle Verbindungen im Einzelnen an und zeigen die notwendigen Firewall-Regeln um diese zu Erlauben.

Wir starten mit der Verbindung vom NIM-Client zum NIM-Master. Diese wird z.B. über das Kommando nimclient verwendet. Der NIM-Client verwendet dabei einen TCP-Port kleiner 1024 und kontaktiert den NIM Port 1058 auf dem NIM Master. Die Richtung von NIM-Client zum NIM-Master ist über unsere allgemeine Filter-Regel für ausgehenden Verkehr automatisch erlaubt. Die umgekehrte Richtung vom NIM-Master zum NIM-Client muss aber explizit erlaubt werden:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 1058 -O lt -P 1024 -c tcp -w I -D "allow NIM client -> master"
Filter rule 23 for IPv4 has been added successfully.
aix05 #

Sobald diese Verbindung etabliert ist, öffnet der NIM Client einen weiteren TCP-Port (Port-Nummer kleiner 1024) und teilt diese Port-Nummer über die bestehende Verbindung dem NIM-Master mit. Dieser öffnet eine zusätzliche Verbindung mit einer Port-Nummer kleiner 1024 zu diesem NIM-Client-Port. Die zweite Verbindung wird für den Standard-Fehler-Kanal verwendet. Eingehender IP-Verkehr vom NIM-Master mit einer Port-Nummer kleiner 1024 zu einer Port-Nummber kleiner 1024 muss ebenfalls erlaubt werden:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o lt -p 1024 -O lt -P 1024 -c tcp -w I -D "allow NIM client -> master (aux)"
Filter rule 24 for IPv4 has been added successfully.
aix05 #

Neben dem Port 1058 für NIM-Operationen vom NIM-Client besitzt der NIM-Master noch einen zweiten Port, den Registrierungs-Port 1059 (TCP). Sollen Systeme sich selbst registrieren können, muss auch die Kommunikation zu diesem zweiten Port möglich sein. Pakete vom NIM-Client zum NIM-Master sind automatisch erlaubt und wir benötigen daher wieder nur eine Regel für den Verkehr vom NIM-Master zurück zum NIM-Client. Die Regel ist analog zu der Regel oben für den Port 1058:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 1059 -O lt -P 1024 -c tcp -w I -D "allow NIM reg client -> master"
Filter rule 25 for IPv4 has been added successfully.
aix05 #

Auch hier gibt es analog zu oben eine zweite Verbindung. Diese ist aber schon durch die Filter-Regel oben abgedeckt.

Als nächstes schauen wir die Kommunikation vom NIM-Master zum NIM-Service-Handler (TCP-Port 3901) auf dem NIM-Client an. Der NIM-Master verwendet einen privilegierten Port (Port kleiner 1024). Die eingehende Richtung auf dem Client ist dann durch die folgende Filter-Regel erlaubt:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o lt -p 1024 -O eq -P 3901 -c tcp -w I -D "allow NIMSH master -> client"
Filter rule 26 for IPv4 has been added successfully.
aix05 #

Auch hier wird eine zweite Verbindung aufgebaut, dieses Mal vom NIM-Client aus. Dieser verwendet dafür den Port 3902. Ziel muss ein privilegierter Port auf dem NIM-Master sein. Die Pakete vom NIM-Client zum NIM-Master sind wieder über die allgemeine Regel für ausgehenden Verkehr erlaubt. Die eingehenden Antwort-Pakete auf den Port 3902 müssen aber explizit erlaubt werden:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o lt -p 1024 -O eq -P 3902 -c tcp -w I -D "allow NIMSH master -> client (aux)"
Filter rule 27 for IPv4 has been added successfully.
aix05 #

Der Zugriff auf NIM-Ressourcen kann über verschiedene Wege erfolgen:

    • Zugriff über NFSv3
    • Zugriff über NFSv4
    • Zugriff über NIMHTTP
    • Zugriff über NIMHTTPS

Das Verwenden von NFS auf einem Client schauen wir in einem eigenen Kapitel an. In diesem Kapitel schauen wir nur die Varianten für NIMHTTP und NIMHTTPS an. Der Port für NIMHTTP und/oder NIMHTTPS auf dem NIM-Master ist standardmäßig der Port 4901. Wir brauchen wieder nur eine Filter-Regel für die eingehende Richtung:

aix05 # genfilt -v 4 -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 4901 -c tcp -w I -D "allow NIMHTTP(s) client -> master"
Filter rule 28 for IPv4 has been added successfully.
aix05 #

to be continued