Você precisará do bos.net.ipsec.rte para poder usar uma solução similar ao iptables.
verifique sua instalação atual com:
michael@x071:[/home/michael]lslpp -L bos.net.ipsec.rte
Fileset Level State Type Description (Uninstaller)
----------------------------------------------------------------------------
bos.net.ipsec.rte 6.1.9.45 C F IP Security
Se já estiver instalado, você pode verificar se está ativo ou inativo usando:
Ativo:
michael@x071:[/home/michael]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
Inativo:
root@x064:[/]lsdev -C | grep ipsec
Isso é sem saída , o que significa que nunca foi ativado ou
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
alguma saída significa que talvez haja alguma configuração, mas ela foi desativada.
Aqui estão alguns exemplos de como você pode ligar / desligar o ipsec para v4 e / ou v6 ipsec.
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Defined IP Version 4 Security Extension
ipsec_v6 Available IP Version 6 Security Extension
root@x072:[/]mkdev -l ipsec_v4
ipsec_v4 Available
root@x072:[/]rmdev -l ipsec_v6
ipsec_v6 Defined
root@x072:[/]lsdev -C | grep ipsec
ipsec_v4 Available IP Version 4 Security Extension
ipsec_v6 Defined IP Version 6 Security Extension
Agora, para parar o nfs por cliente (definido como um endereço IP)
Vamos usar o endereço IP 192.168.111.222 como o endereço do cliente que desejo parar. Existem diferentes ações que podem ser tomadas - permitir e negar são as mais comuns - podemos ser um pouco extravagantes e usar block-port que cria uma nova regra de negação dinâmica cada vez que uma porta tenta se conectar - dessa forma você pode ver como ativa as solicitações de montagem exclusivas são:
Precisamos nos concentrar na porta 2049
root@x072:[/]grep nfs /etc/services
nfsd-status 1110/tcp # Cluster status info
nfsd-keepalive 1110/udp # Client status info
picknfs 1598/tcp # picknfs
picknfs 1598/udp # picknfs
shiva_confsrvr 1651/tcp # shiva_confsrvr
shiva_confsrvr 1651/udp # shiva_confsrvr
#nfs 2049/tcp # Network File System - Sun Microsystems
#nfs 2049/udp # Network File System - Sun Microsystems
3d-nfsd 2323/tcp # 3d-nfsd
3d-nfsd 2323/udp # 3d-nfsd
mediacntrlnfsd 2363/tcp # Media Central NFSD
mediacntrlnfsd 2363/udp # Media Central NFSD
Nota: para usar o uso smit (ty):
smitty ipsec4
e, em seguida, use Avançado ...- > Adicionar
Add an IP Security Filter Rule
Type or select values in entry fields.
Press Enter AFTER making all desired changes.
[Entry Fields]
* Rule Action [shun_port] +
* IP Source Address [192.168.111.222]
* IP Source Mask [255.255.255.255]
IP Destination Address [0.0.0.0]
IP Destination Mask [0.0.0.0]
* Apply to Source Routing? (PERMIT/inbound only) [yes] +
* Protocol [tcp] +
* Source Port / ICMP Type Operation [any] +
* Source Port Number / ICMP Type [0] #
* Destination Port / ICMP Code Operation [eq] +
* Destination Port Number / ICMP Type [2049] #
* Routing [local] +
* Direction [inbound] +
* Log Control [no] +
* Fragmentation Control [0] +
* Interface [all] +
Expiration Time (sec) [300] #
Pattern Type [none] +
Pattern / Pattern File []
Description <g port on NFS request]
Ou na linha de comando:
/usr/sbin/genfilt -v 4 -a 'S' -s '192.168.111.222' -m '255.255.255.255' -d '0.0.0.0' -M '0.0.0.0' -g 'y' -c 'tcp' -o 'any' -p '0' -O 'eq' -P '2049' -r 'L' -w 'I' -l 'N' -t '0' -i 'all' -e '300' -D 'block incoming port on NFS request'
E no smit ou na linha de comando - ative a regra
mkfilt -v4 -u
e para ver as regras configuradas
lsfilt -v4 -O
e para ver algumas (talvez) regras dinâmicas
lsfilt -v4 -a -O
** Comentário Ainda não posso adicionar: no caso de você precisar de uma alteração AGORA - como isso afeta somente futuras conexões à porta, você pode usar os comandos:
nfs.clean; sleep 2; rc.nfs
para parar e, em seguida, reinicie os serviços do nfs. Note que
stopsrc -g nfs; startsrc -g nfs
não inicia os daemons na sequência correta