在Solaris和AIX上都有软件的防火墙可以代替硬件的防火墙,经济实用呀!下面以禁止除特定的IP外用SSH访问服务器的例子来说明如何使用。
Solaris用tcp wrapper限制SSH的登录
启动ssh的tcp wrapper
inetadm -m ssh tcp_wrappers=TRUE
inetadm -M tcp_wrappers=TRUE
先开通指定的ip
echo "sshd:111.111.111.111,222.222.222.222" >/etc/hosts.allow
再禁止所有的机器通过ssh访问本机
echo "sshd: ALL" >/etc/hosts.deny
顺序别搞颠倒了,小心自己也进不去了。
AIX下用tcp wrapper限制SSH的登录
在AIX下默认没有安装tcp wrapper,可用IP安全包来实施。
启动IP安全:
# smitty ipsec4
-> Start/Stop IP Security
-> Start IP Security ->
Start IP Security [Now and After Reboot] +
Deny All Non_Secure IP Packets [no] +
上面两项的设置均使用缺省值,特别是第二个选项千万别改成yes,不然你自己就进不去了,得到机房从console才能登录。
使用下面方法配置增加一条规则开通特定的IP
# smitty ipsec4
-> Advanced IP Security Configuration
->Configure IP Security Filter Rules
-> Add an IP Security Filter Rule
注:双击图片可放大
再增加一条规则屏蔽所有的IP
注:双击图片可放大
最后要把这样规则列出来再检查一下,注意规则的顺序,如何不合适在smitty中可以调整的。
然后激活设置的过滤规则:
# smitty ipsec4
-> Advanced IP Security Configuration
-> Activate/Update/Deactivate IP Security Filter Rule
-> Activate / Update