AIX at its best - ipfilter

Post date: Oct 12, 2012 2:45:37 PM

Az IPFilter egy régóta fejlesztett, nyílt forrású "tűzfal", ami sokféle rendszeren hajlandó működni. Valamikor 2006 környékén az IBM fogta a kódot, és megcsinálta AIX-re is, mellékelve egy saját kernelmodult. Ez a verzió nem minden eredeti funkciót támogat, de csomagszűrésre és NAT-olásra megfelel. Az AIX filesetet ipfl.rte néven az AIX Expansion Pack-ben találhatjuk meg.

Amiért itt is írok róla, annak az oka az, hogy kezdettől fogva hibásan működött a tűzfal. Még 2009-ben az avocado nevű kis 43P gépen próbáltam ki, ahol nemcsak a névfeloldás, de a ping, majd végén a szerverre való belépés is lehetetlenné vált addig, amíg a tűzfal be volt kapcsolva. Egészen a közelmúltig nem is foglalkoztam vele. Nemrég felmerült az ötlet, hogy egy helyi portot az IPFilter segítségével irányítsak át, tehát feltettem a filesetet, betöltöttem a modult, és egy egysoros rdr szabállyal bekapcsoltam az átirányítást. Innentől a hálózaton folyamatos 'akadást' lehetett tapasztalni (néha 1-2 percet is kellett várni, mire megjelent a beírt szöveg), illetve a gigabit Ethernet driver eközben "TRANSMIT FAILURE" hibákat szórt, aminek azt megelőzően se híre, se hamva nem volt. Semmi sem segített, több ötletet is kipróbáltam, például az auto-negotiate-et átállítottam fix 1000Mbps-re, ki-bekapcsoltam a flow controlt.

Mikor már végleg elkönyveltem, hogy az IPFilter a hibás, és ki is kapcsoltam, ma reggel eszembe jutott, hogy esetleg az IBM kiadott valami javítást. A legtöbb AIX filesetnek van egy-egy saját információs oldala az IBM.com-on, illetve a zseniális 'fixget' online eszközzel is van lehetőség a legfrissebb verzió ellenőrzésére. És lám, kiderült, hogy az idén májusban kiadott Expansion Pack még az eredeti 5.3.0.0-as verziót szállítja, de azóta 3 javítás is megjelent a csomaghoz. A legutolsót feltettem (nem kell reboot...), újra bekapcsoltam az átirányítást, és csodák csodája, nincs hiba.

Akit a részletek érdekelnek, olvassa el ezt a dokumentumot, amiben vázlatosan összefoglaltam a telepítés és a használat lépéseit. Mivel az IPFiltert máshol is használják, gyakorlati példákat könnyű találni a különböző felhasználási területekre.