Commande netrule

Editer en ligne

Objectif

Ajoute, supprime, liste ou demande des règles, des indicateurs et des libellés de sécurité pour les interfaces et les hôtes.

Syntaxe

nétrule h l [ i | o | i o ]

netrule hq { i | o } spécif_règle_hôte_source spécif_règle_hôte_source

netrule h- [ i | o ] [u] [ src_host_rule_specification dst_host_rule_specification ]

netrule h+ { i | o } [ u ] src_host_rule_specification dst_host_rule_specification [ indicateurs ] [ Options RIPSO/CIPSO ] security_label_information

nétrule i l

interface Netrule i- q

Netrule i- [ u ][interface ]

netrule i+ [ u ] interface [ indicateurs ] [ Options RIPSO/CIPSO ] security_label_information

netrule e q

netrule e { on | off }

Descriptif

La commande netrule répertorie, interroge, ajoute et supprime des spécifications de règles pour les interfaces et les hôtes. Les règles d'interface par défaut du système sont définies à l'aide du nom de l'interface. Lorsqu'une interface est supprimée à l'aide de l'indicateur i- , ces règles d'interface par défaut lui sont appliquées. Les règles d'interface par défaut sont également définies à l'aide de la commande tninit load .

Remarque: Etant donné qu'il doit toujours exister une règle d'interface pour une interface, l'opération de suppression définit la règle d'interface sur son état par défaut. Tous les indicateurs de ligne de commande doivent suivre l'ordre indiqué dans les instructions de syntaxe.

Indicateurs

Article Descriptif
e { on | off } Définit la règle d'envoi de la réponse d'erreur ICMP aux paquets entrants qui ne sont pas acceptés par le système. Ce paramètre est désactivé par défaut et doit être défini avec cet indicateur pour être activé. Vous ne pouvez pas spécifier l'indicateur e lorsque vous spécifiez l'indicateur h ou i .
h Indique que l'objet de la commande netrule est un hôte. Vous ne pouvez pas spécifier l'indicateur h lorsque vous spécifiez l'indicateur i ou e .
i Indique que l'objet de la commande netrule est une interface. Vous ne pouvez pas spécifier l'indicateur i lorsque vous spécifiez l'indicateur h ou e .
l Répertorie toutes les règles pour les interfaces ou les hôtes.
o Indique les règles de sortie de l'hôte (pour les règles d'hôte uniquement).
q Interroge une interface, une règle hôte ou le statut du paramètre de réponse d'erreur.
U Indique que les fichiers /etc/security/rules.host et /etc/security/rules.int seront mis à jour après l'ajout ou la suppression de la règle d'hôte ou d'interface.
+ Ajoute une interface ou une règle d'hôte.
- Supprime une interface ou une règle d'hôte.
interface Indique un nom d'interface.
spécif_règle_hôte_src Ce paramètre prend le format suivant:
src_host [/ mask][ = proto [:start_port_range [:end_port_range]]]
Condition requise: il existe un espace ou une tabulation entre chaque champ.
hôte_src
Une adresse IPv6 source, une adresse IPv4 ou un nom d'hôte.
masque
Le numéro de masque de sous-réseau indique combien de bits sont définis, à partir du bit de poids fort. Par exemple, 24 signifie 255.255.255.0 pour une adresse IPv4 .
Proto
Un protocole.
plage_port_démarrage
Numéro ou nom de port particulier à partir duquel commencer.
plage_port_fin
Numéro ou nom de port particulier à utiliser.
spécif_règle_hôte_dst Ce paramètre prend le format suivant:
dst_host [/ mask][ = proto [:start_port_range [:end_port_range]]]
Condition requise: il existe un espace ou une tabulation entre chaque champ.
hôte_stD
Une adresse IPv6 de destination, une adresse IP v4 ou un nom d'hôte.
masque
Numéro de masque de sous-réseau, qui indique le nombre de bits définis, en commençant par le bit de poids fort. Par exemple, 24 signifie 255.255.255.0 pour une adresse IPv4 .
Proto
Un protocole.
plage_port_démarrage
Numéro ou nom de port particulier à partir duquel commencer dans la plage.
plage_port_fin
Numéro ou nom de port particulier à utiliser.
Flags Ce paramètre prend le format suivant:
-d drop
drop
AIX Trusted Network peut être configuré pour laisser tomber tous les paquets. Vous pouvez spécifier l'une des valeurs suivantes :
r
Supprime tous les paquets
n
Ne supprime pas tous les paquets (valeur par défaut de l'interface).
i
Utilise la valeur par défaut de l'interface (valeur par défaut de l'hôte, hôte uniquement).
-f rflag:tflag
indicateurs de valeur
Exigence d'option de sécurité sur les paquets entrants (reçus). Vous pouvez spécifier l'une des valeurs suivantes :
r
Révision de l'option de sécurité du protocole d'interconnexion (RIPSO) uniquement.
c
Commercial Internet Protocol Security Option (CIPSO) uniquement.
e
RIPSO ou CIPSO.
n
Ni RIPSO ni CIPSO (valeur par défaut du système).
a
Aucune restriction.
i
Utilise l'interface ou la valeur par défaut du système (par défaut).
tflag
Gestion des options de sécurité sur les paquets sortants (transmis). Vous pouvez spécifier l'une des valeurs suivantes :
r
Transmet RIPSO.
c
Transmet CIPSO.
n
Ne transmet aucune option de sécurité (valeur par défaut de l'interface).
i
Utilise la valeur par défaut de l'interface (valeur par défaut de l'hôte, hôte uniquement).
Options RIPSO/CIPSO Ce paramètre prend le format suivant:
-rpafs=PAF_field[,PAF_field... ]
Indique les zones PAF utilisées pour recevoir les paquets IPSO. Il s'agit de la liste des zones PAF acceptées. Il peut y avoir jusqu'à 256 zones.
PAF_field: NONE | PAF [ +PAF... ]
Indique les zones PAF, qui sont des collections de PAF. Voici les cinq PAF qui peuvent être inclus dans une seule zone PAF:
  • GENSER
  • SIOP-ESI
  • SCI
  • NSA
  • DOE
Une zone PAF est une combinaison de ces valeurs séparées par un signe plus (+). Par exemple, un champ PAF contenant à la fois GENSER et SCI est représenté comme GENSER + SCI. Vous pouvez utiliser la zone PAF NONE pour spécifier la zone PAF sans aucune zone PAF spécifiée.
-epaf=champ_AFP
Indique la zone PAF associée aux réponses d'erreur pour les paquets IPSO entrants qui n'ont pas été acceptés par le système.
- tpaf=PAF_field
Indique la zone PAF incluse dans les options IPSO des paquets sortants.
-DOI = doi
Indique le domaine d'interprétation (DOI) des paquets CIPSO. Les paquets entrants doivent avoir ce DOI et les paquets sortants seront dotés de ce DOI.
-tags=balise[,balise... ]
tag = 1 | 2 | 5

Indique l'ensemble des balises acceptées et disponibles pour être transmises par les options CIPSO. Il s'agit d'une combinaison de 1, 2 et 5. Par exemple, 1,2 active les balises 1 et 2.
information_label_sécurité Ce paramètre prend le format suivant:
+min +max +défaut | -s fichier_d'entrée
Indique la sortie standard (SL) qui s'appliquera lors de l'ajout d'une règle. Vous pouvez également spécifier l'indicateur -s et inclure les niveaux de service dans le fichier dans l'ordre suivant, en spécifiant un par ligne:
  • min SL
  • SL max.
  • SL par défaut
Vous ne pouvez pas inclure de commentaires dans le fichier. Utilisez une barre oblique inversée (\) à la fin de la ligne si plusieurs lignes sont nécessaires. Si vous n'utilisez pas de fichier, répertoriez les libellés de sensibilité délimités par un signe plus (+) pour le niveau minimal, le niveau maximal et le niveau par défaut ou implicite pour les paquets non marqués.

Security

Un utilisateur doit disposer des autorisations aix.mls.network.config et aix.mls.network.init pour exécuter la commande netrule .

Exemples

  1. Pour ajouter une règle d'hôte et mettre à jour la base de données locale une fois que la règle d'hôte a été ajoutée au noyau, entrez:
    netrule h+iu 9.3.149.25 9.41.86.19 +impl_lo +ts all +pub
  2. Pour ajouter une règle d'hôte, entrez:
    netrule h+o 9.41.86.19  9.3.149.25 -s /tmp/rule

    Ou :

    impl_lo
ts all
pub
    Le contenu du fichier /tmp/rule en entrée est le suivant:
    impl_lo
ts \
all
pub
  3. Pour supprimer tous les paquets UDP entrants d'un hôte, entrez:
    netrule h+i 192.0.0.5 =udp 9.41.86.19 =udp -dr +impl_lo +impl_lo +impl_lo
  4. Pour supprimer toutes les règles d'hôte et mettre à jour la règle locale, entrez:
    netrule h-u
  5. Pour répertorier toutes les règles d'hôte, entrez:
    netrule hl
  6. Pour répertorier toutes les règles d'interface, entrez:
    netrule il
  7. Pour ajouter une règle d'interface, entrez:
    netrule i+ en0 -dn -fa:n +public +ts +secret
  8. Pour supprimer une règle hôte particulière, entrez:
    netrule h-i 192.0.0.5 =udp 9.41.86.19 =udp
  9. Pour ajouter une règle hôte particulière, entrez:
    netrule h+i 9.41.86.19 /24 =tcp :ftp :telnet 9.3.149.6 /28 +public +ts +secret
  10. Pour définir la règle d'interface par défaut, entrez:
    netrule i+ default -dn -fa:n +impl_lo +ts all +impl_lo
  11. Pour définir la règle d'interface par défaut sur la valeur par défaut du système drop-all-packets, entrez:
    netrule i- default
  12. Pour définir l'interface de sorte qu'elle envoie et reçoive uniquement les paquets CIPSO, entrez:
    netrule i+ en0 -fc:c +impl_lo +ts all +impl_lo
  13. Pour définir l'interface de sorte qu'elle reçoive des paquets CIPSO ou RIPSO et qu'elle envoie des paquets RIPSO avec des valeurs PAF, un indicateur CIPSO DOI et des indicateurs CIPSO, entrez:
    netrule i+ en0 -fe:r -rpafs=SCI,NSA+DOE -epaf=SCI -tpaf=NSA -DOI=0x010 
-tags=1,2 +impl_lo +ts all +impl_lo
  14. Pour définir la règle à l'échelle du système pour l'envoi de réponses ICMP sur des paquets entrants non valides, entrez:
    netrule e on