У меня есть серия IBM I (AS / 400), которая должна перейти на общедоступный IP-адрес. Я хотел бы закрыть порты, выходящие в Интернет, и открыть только некоторые порты для внешнего мира, а внутреннюю сеть оставить открытой для ftp, 5250 и т. Д.
У меня открыт System i Navigator, я смотрю на редактор политик IP и не совсем понимаю, как это сделать. Public ip 211... * только что отредактирован, чтобы не отображать реальный IP-адрес, а * не являются подстановочными знаками. Вчера я заблокировал всех из as400, сделав это неправильно, и не совсем уверен, как я ошибся, поэтому внес поправки в это - RMVTCPTBL TBL (* IPFTR) спас положение .... Что-то вроде;
#Assign IP Addresses to Names
ADDRESS External_AS400 IP = 211.*.*.* TYPE = BORDER
#Internal lan network address
ADDRESS INTERNAL_AS400 IP = 192.168.1.201 TYPE = TRUSTED
ADDRESS Internal_Lan IP = 192.168.1.0 MASK = 255.255.255.0 TYPE = TRUSTED
#Inbound from Internet rules
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = INTERNAL_AS400 PROTOCOL = TCP DSTPORT = 22 SRCPORT = * FRAGMENTS = NONE JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = External_AS400 PROTOCOL = TCP DSTPORT = 22 SRCPORT = * FRAGMENTS = NONE JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = INTERNAL_AS400 PROTOCOL = TCP DSTPORT = 25 SRCPORT = * FRAGMENTS = NONE JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = External_AS400 PROTOCOL = TCP DSTPORT = 25 SRCPORT = * FRAGMENTS = NONE JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = INTERNAL_AS400 PROTOCOL = TCP DSTPORT = 110 SRCPORT = * FRAGMENTS = NONE JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = * DSTADDR = External_AS400 PROTOCOL = TCP DSTPORT = 110 SRCPORT = * FRAGMENTS = NONE JRN = OFF
#Allow local lan access to server
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = Interal_Lan DSTADDR = INTERNAL_AS400 PROTOCOL = * DSTPORT = * SRCPORT = * FRAGMENTS = * JRN = OFF
FILTER SET Inbound_AS400 ACTION = PERMIT DIRECTION = INBOUND SRCADDR = Interal_Lan DSTADDR = External_AS400 PROTOCOL = * DSTPORT = * SRCPORT = * FRAGMENTS = * JRN = OFF
#Outbound to Internet Rules
FILTER SET Outbound_AS400 ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = INTERNAL_AS400 DSTADDR = * PROTOCOL = * DSTPORT = * SRCPORT = * FRAGMENTS = * JRN = OFF
FILTER SET Outbound_AS400 ACTION = PERMIT DIRECTION = OUTBOUND SRCADDR = External_AS400 DSTADDR = * PROTOCOL = * DSTPORT = * SRCPORT = * FRAGMENTS = * JRN = OFF
#Get Out of Jail Free
FILTER SET ALLOWALL ACTION PERMIT DIRECTION = * SRCADDR = * DSTADDR = * PROTOCOL = * DSTPORT = * SRCPORT = * FRAGMENTS = * JRN = OFF
#Allocate FILTER SET to Network INTERFACE
FILTER_INTERFACE LINE = TCPLIN2 SET = Inbound_AS400
FILTER_INTERFACE LINE = TCPLIN2 SET = Outbound_AS400
FILTER_INTERFACE LINE = TCPLIN2 SET = ALLOWALL
Извините, я не занимаюсь такими вещами. Но разве вы не хотите, чтобы перед физическим сервером был установлен аппаратный брандмауэр? Таким образом, у вас будет дополнительный уровень защиты между Интернетом и сервером.
Я думаю, это сбивает с толку, потому что вы устанавливаете все правила для одного и того же описания строки LINE = TCPLIN2.
Вы знаете, сколько сетевых адаптеров у вас установлено в этой системе? WRKHDWRSC TYPE (* CMN) и проверьте наличие адаптеров типа 5767, находящихся в рабочем состоянии. У большинства iSeries будет как минимум 2. Если у вас есть пара адаптеров, вы можете назначить один для внутреннего трафика, а другой - для внешнего.
Вы также можете создавать виртуальные адаптеры Ethernet с помощью консоли управления оборудованием, опять же, иметь один для внешнего / внутреннего трафика. Вероятно, вы могли бы добиться того, что вам нужно, с двумя адаптерами.