Zur Administration eines Rechners ist ein Remote-Login auf den Rechner notwendig. Dies wird typischerweise mit SSH realisiert. Daher ist es notwendig eingehenden SSH-Verkehr von ausgewählten Systemen (z.B.: Terminal-Server, Jump-Server, NIM-Master) zu erlauben.

Gibt es mehrere Remote-Systeme von denen ein SSH-Login erlaubt sein soll, sollten die IP-Adressen dieser Systeme darauf überprüft werden, ob einige fortlaufende IPs dabei sind. Diese können dann mit Hilfe einer entsprechenden Netzmaske zusammengefasst werden. Man braucht dann nicht für jede einzelne Quell-IP eine eigene Filter-Regel. In unserem Beispiel haben wir die folgenden Quell-IPs:

10.20.132.174 tserver01
10.20.132.175 tserver02
10.20.170.250 aixnim

Die ersten beiden IPs lassen sich zusammen fassen zu 10.20.132.174/31. Wir benötigen daher nur 2 anstelle von 3 Filter-Regeln für die 3 Systeme.

Hat das zu sichernde AIX-System mehrere IP-Adressen, muss zunächst überprüft werden ob jede der IP-Adressen eine erlaubte Ziel-IP für einen SSH-Login ist. In diesem Fall muss für jede mögliche Quell-IP entschieden werden, welche Ziel-IPs für diese Quell-IP erlaubt sind. Für jede erlaubte Kombination braucht man dann eine entsprechende Filter-Regel. In unserem konkreten Fall besitzt das AIX-System aber nur eine IP-Adrresse:

10.222.16.155 aix05

Wir kommen damit mit den beiden folgenden Filter-Regeln für eingehende SSH-Pakete von den genannten Quell-Systemen aus:

aix05 # genfilt -v 4 -a P -s 10.20.132.174 -m 255.255.255.254 -d 10.222.16.155 -O eq -P 22 -w I -D "allow SSH from tserver01 and tserver02"
Filter rule 6 for IPv4 has been added successfully.
aix05 # genfilt -v 4 -a P -s 10.20.170.250 -m 255.255.255.255 -d 10.222.16.155 -O eq -P 22 -w I -D "allow SSH from NIM master"
Filter rule 7 for IPv4 has been added successfully.
aix05 # 

Die zugehörigen ausgehenden SSH-Pakete sind schon über die Filter-Regel für ausgehenden IP-Traffic (siehe Alle ausgehenden IP-Pakete erlauben) erlaubt.