Under Construction

Arbeiten mit AIX -> AIX-SicherheitIP-Filterung mit IPsec

Filter-Regeln

Für das Filtern von IP-Paketen verwendet IPsec eine Filter-Tabelle. Die Zeilen der Tabelle werden als Filter-Regeln bezeichnet. Die Filter-Regeln entscheiden darüber was mit einem eingehenden oder ausgehenden IP-Paket passiert. Pakete können entweder akzeptiert (permit) oder abgelehnt (deny) werden. IP-Pakete enthalten unter Anderem die folgenden Informationen:

    • Quell-IP
    • Ziel-IP
    • Protokoll

Je nach Protokoll kommen weitere Informationen dazu, wie:

    • Quell-Port
    • Ziel-Port

Eine Filter-Regel enthält Informationen für welche IP-Pakete die Regel gilt. Neben den zwingend erforderlichen Informationen

    • IP-Version (4 oder 6)
    • Quell-IP und Quell-Netzmaske

können weitere Informationen angegeben werden, die ein matchendes Paket besitzen muss, wie z.B.:

    • Ziel-IP und Ziel-Netzmaske
    • Protokoll (ICMP, TCP, UDP)
    • Quell-Port
    • Ziel-Port
    • und weitere

Jede Filter-Regel muss eine Aktion angeben, die bestimmt was mit einem matchenden Paket passieren soll. Soll das Paket geblockt werden (deny) oder erlaubt werden (permit)?

Hinweis: Es gibt ein paar weitere spezielle Aktionen, die an späterer Stelle angesprochen werden.

Außerdem kann die Richtung angegeben werden (eingehend, ausgehend oder beides) und ob ein matchendes Paket geloggt werden soll oder nicht.

Jede Filter-Regel besitzt eine eindeutige Nummer (Regel ID). IP-Pakete werden gegen die Filter-Regeln in der Filter-Tabelle verglichen. Die Regeln werden dabei in aufsteigender Reihenfolge der Regel IDs durchlaufen. Sobald eine Filter-Regel auf das IP-Paket passt, kommt diese Filter-Regel zum Einsatz. Weitere Regeln werden nicht mehr durchlaufen. D.h. die erste matchende Filter-Regel wird auf ein IP-Paket angewendet und entscheidet darüber ob das IP-Paket blockiert oder erlaubt wird. Wird ein IP-Paket aufgrund der Filter-Regel blockiert, dann wird das Paket einfach verworfen (dropped). Ist das IP-Paket erlaubt, dann wird es auf dem System weiterverarbeitet.

Auf eingehende IP-Pakete werden nur Filter mit Richtung eingehend angewendet. Auf ausgehende IP-Pakete entsprechend nur Filter mit Richtung ausgehend.

Filter-Regel-Tabelle und aktive Filter-Regeln

Anzeigen von Filter-Regeln (lsfilt)

Anzeigen von Filter-Regeln (SMIT)