Under Construction

Arbeiten mit AIX -> AIX-SicherheitIP-Filterung mit IPsecAbsichern eines AIX-Systems gegen unerwünschte Zugriffe über das Netzwerk

RMC-Verbindungen zu den HMCs

Um eine LPAR aktiv in einer PowerVM Umgebung verwalten zu können, ist eine funktionierende RMC-Verbindung zwischen LPAR und den verwaltenden HMCs nötig. RMC verwendet UDP und TCP auf dem Port 657. Damit auch nach Absicherung des AIX-Systems RMC funktioniert, müssen eingehende Pakete von den HMCs auf den Port 657 erlaubt werden. Die ausgehenden Pakete sind über die schon erzeugte Filter-Regel aus Alle ausgehenden IP-Pakete erlauben schon erlaubt.

Bei funktionierender RMC-Verbindung können die verwendeten IP-Adressen der HMCs und des AIX-Systems mit Hilfe von lsrsrc angezeigt werden:

aix05 # lsrsrc IBM.MCP HMCIPAddr MNName ConnectivityNames
Resource Persistent Attributes for IBM.MCP
resource 1:
        HMCIPAddr         = "10.16.207.91"
        MNName            = "10.222.16.155"
        ConnectivityNames = {"10.222.16.155"}
resource 2:
        HMCIPAddr         = "10.16.207.92"
        MNName            = "10.222.16.155"
        ConnectivityNames = {"10.222.16.155"}
aix05 #

Wir benötigen damit eine Filter-Regel, die eingehende IP-Pakete von den IPs 10.16.207.91 und 10.16.207.92 mit der Ziel IP 10.222.16.155 auf den Ziel-Port 657 erlaubt. Als Protokolle müssen UDP und TCP erlaubt werden. Leider lassen sich die beiden Quell-IPs nicht über eine Netzmaske kombinieren. Damit benötigen wir für jede der beiden HMCs eine eigene Filter-Regel. Da wir Regeln für UDP und TCP benötigen, sind das schon 4 Filter-Regeln. Wir kombinieren die beiden Protokolle, indem wir alle Protokolle zulassen. Es reicht dann jeweils eine Filter-Regel pro HMC:

aix05 # genfilt -v 4 -a P -s 10.16.207.91 -m 255.255.255.255 -d 10.222.16.155 -w I -O eq -P 657 -D "allow RMC from HMC 1"
Filter rule 4 for IPv4 has been added successfully.
aix05 # genfilt -v 4 -a P -s 10.16.207.92 -m 255.255.255.255 -d 10.222.16.155 -w I -O eq -P 657 -D "allow RMC from HMC 2"
Filter rule 5 for IPv4 has been added successfully.
aix05 #

Da RMC-Verkehr auch vom AIX-System aus initiiert werden kann, muss auch diese Kommunikation betrachtet werden. Die Pakete für den Verbindungsaufbau in Richtung der HMCs sind zwar schon erlaubt, durch unsere Filter-Regel die allen ausgehenden Verkehr erlaubt, aber die Antwort-Pakete von der HMC sind durch unsere Regeln für eingehenden RMC-Verkehr noch nicht abgedeckt. Bei diesen Paketen ist der Quell-Port der Port 657 (UDP und TCP):

aix05 # genfilt -v 4 -a P -s 10.16.207.91 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 657 -w I -D "allow RMC to HMC 1"
Filter rule 12 for IPv4 has been added successfully.
aix05 # genfilt -v 4 -a P -s 10.16.207.92 -m 255.255.255.255 -d 10.222.16.155 -o eq -p 657 -w I -D "allow RMC to HMC 2"
Filter rule 13 for IPv4 has been added successfully.
aix05 #

 

to be continued