Under Construction

LPAR-ToolBenutzerhandbuch > Das hmc Kommando

hmc addfirewall

Verfügbar: ab 1.9.1.0

Mit dem Kommando „hmc addfirewall“ können einer HMC Firewall Regeln hinzugefügt werden, welche es erlauben auf Dienste der HMC über das Netzwerk zuzugreifen.

   addfirewall [-v] <hmc> <service> [<interface>] <IP>[/<prefixlen>] [<netmask>]

Neben der HMC muss einer der von IBM unterstützten Dienste und mindestens eine IP-Adresse angegeben werden.

Von IBM unterstützte Dienste sind die folgenden:

    •    ssh – Secure Shell
    •    SecureRemoteAccess – Secure Remote Access
    •    RMC – Resource Monitoring and Control (LPM, DLPAR)
    •    FCS – HMC to HMC communication
    •    i5250 – 5250 Remote Console
    •    ping – ICMP echo
    •    ntp – Network Time Protocol
    •    SLP – SLP
    •    RPD – RPD
    •    snmptrap – SNMP traps
    •    snmpagent – SNMP agent

Hinweis: Je nach HMC Version sind eventuell weitere Dienste unterstützt. Hierzu sollte die offizielle IBM Dokumentation konsultiert werden.

Soll eine Verbindung nur für ein bestimmtes Interface erlaubt sein, dann muss der Interface Name angegeben werden. Ohne Angabe eines Interfaces werden immer Regeln für alle Interfaces hinzugefügt.

Es können nur Regeln für eingehenden Netzwerk-Traffic hinzugefügt werden, nicht für ausgehenden Netzwerk-Traffic. D.h. es gibt keine Einschränkungen für ausgehende Verbindungen. Die HMC-Firewall ist ausschließlich zum Schutz der HMC selbst gedacht.

Es können eine oder mehrere IP-Adressen freigeschaltet werden, oder auch ganze Netze. Es können Regeln für IPv4 und für IPv6 hinzugefügt werden.

Nachfolgend einige Beispiele, welche die verschiedenen Möglichkeiten illustrieren.

SSH-Verbindungen von der IP-Adresse 192.168.17.93 (Quell-IP) zur HMC hmc01 zulassen, jedoch nur über das Interface eth0:

$ hmc addfirewall hmc01 ssh eth0 192.168.17.93
$

Hinweis: Es ist keine Netzmaske und keine Präfix-Länge angegeben, der Default ist dann 255.255.255.255 für IPv4 Adressen und damit nur die angegebene IP-Adresse.

Ping (ICMP) von jeder beliebigen IP-Adresse auf jedem Interface der HMC hmc01 erlauben:

$ hmc addfirewall hmc01 ping 0.0.0.0 0.0.0.0
$

Alternativ, anstelle der Netz-Maske 0.0.0.0, kann auch die Präfix-Länge zusammen mit der IP-Adresse angegeben werden:

$ hmc addfirewall hmc01 ping 0.0.0.0/0
$

RMC aus dem Netzwerk 192.168.17.0/24 auf dem Interface eth0 erlauben:

$ hmc addfirewall hmc01 RMC eth0 192.168.17.0 255.255.255.0
$

Alternativ kann auch hier wieder anstelle der Netzmaske (255.255.255.0) die Präfix-Länge verwendet werden:

$ hmc addfirewall hmc01 RMC eth0 192.168.17.0/24
$

Bei Regeln für IPv6 kann keine Netzmaske angegeben werden, es kann nur eine Präfix-Länge angegeben werden. Die Default Präfix-Länge ist dann 128.

Welche Regeln aktuell auf einer HMC konfiguriert sind, kann mit dem Kommando „hmc lsfirewall“ angezeigt werden. Sollen Regeln entfernt werden, kann dies mit dem Kommando „hmc rmfirewall“ erfolgen.