Under Construction

LPAR-ToolBenutzerhandbuch > Das hmc Kommando

hmc rmfirewall

Verfügbar: ab 1.9.1.0

Mit dem Kommando „hmc rmfirewall“ können Firewall Regeln auf einer HMC weggenommen werden.

   rmfirewall [-v] <hmc> <service> [<interface>] <IP>[/<prefixlen>] [<netmask>]

Es können nur existierende Firewall Regeln entfernt werden.

Neben der HMC muss einer der von IBM unterstützten Dienste und mindestens eine IP-Adresse angegeben werden.

Von IBM unterstützte Dienste sind die folgenden:

    •    ssh – Secure Shell
    •    SecureRemoteAccess – Secure Remote Access
    •    RMC – Resource Monitoring and Control (LPM, DLPAR)
    •    FCS – HMC to HMC communication
    •    i5250 – 5250 Remote Console
    •    ping – ICMP echo
    •    ntp – Network Time Protocol
    •    SLP – SLP
    •    RPD – RPD
    •    snmptrap – SNMP traps
    •    snmpagent – SNMP agent

Hinweis: Je nach HMC Version sind eventuell weitere Dienste unterstützt. Hierzu sollte die offizielle IBM Dokumentation konsultiert werden.

Gibt es eine Regel für mehrere Interfaces, kann die Regel entweder durch Angabe eines Interfaces nur für das spezifizierte Interface weggenommen werden, oder durch Weglassen der Angabe eines Interfaces kann die Regel für alle Interfaces entfernt werden.

Es können Regeln für IPv4 und für IPv6 weggenommen werden.

Nachfolgend einige Beispiele, welche die verschiedenen Möglichkeiten illustrieren. Dabei ist zu beachten das die angegebenen Informationen, wie Interface, IP-Adresse, Service und Netzmaske verwendet werden um eine existierende Regel zu matchen. Nur wenn eine solche Regel existiert, kann sie mit dem Kommando weggenommen werden. Bei allen nachfolgenden Beispielen wird davon ausgegangen das die entsprechende Regel aktuell existiert!

Die Regel die SSH-Verbindungen von der IP-Adresse 192.168.17.93 (Quell-IP) zur HMC hmc01 über das Interface eth0 erlaubt, wieder wegnehmen:

$ hmc rmfirewall hmc01 ssh eth0 192.168.17.93
$

Hinweis: Es ist keine Netzmaske und keine Präfix-Länge angegeben, der Default ist dann 255.255.255.255 für IPv4 Adressen und damit nur die angegebene IP-Adresse.

Die Regeln die Ping (ICMP) von jeder beliebigen IP-Adresse auf jedem Interface der HMC hmc01 erlauben, wieder entfernen:

$ hmc rmfirewall hmc01 ping 0.0.0.0 0.0.0.0
$

Alternativ, anstelle der Netz-Maske 0.0.0.0, kann auch die Präfix-Länge zusammen mit der IP-Adresse angegeben werden:

$ hmc rmfirewall hmc01 ping 0.0.0.0/0
$

Die Regel die RMC aus dem Netzwerk 192.168.17.0/24 auf dem Interface eth0 erlaubt, entfernen:

$ hmc rmfirewall hmc01 RMC eth0 192.168.17.0 255.255.255.0
$

Alternativ kann auch hier wieder anstelle der Netzmaske (255.255.255.0) die Präfix-Länge verwendet werden:

$ hmc rmfirewall hmc01 RMC eth0 192.168.17.0/24
$

Bei Regeln für IPv6 kann keine Netzmaske angegeben werden, es kann nur eine Präfix-Länge angegeben werden. Die Default Präfix-Länge ist dann 128.

Welche Regeln aktuell auf einer HMC konfiguriert sind, kann mit dem Kommando „hmc lsfirewall“ angezeigt werden. Sollen neue Regeln hinzugefügt werden, kann dies mit dem Kommando „hmc addfirewall“ erfolgen.