V5R1 Bug ?

[SE]

Hallo,

Kann es sein, daß IP-Filter und NAT unter V5R1 noch nicht (bzw. nicht mehr) richtig funktionieren ?
Im OpsNav wird zwar angezeigt, daß keine Regeln geladen sind, aber ich kann keine neuen Definitionen & Regeln hinzufügen (Felder sind grau - deaktiviert). Es sieht so aus, als ob die IP-Sicherheit immernoch aktiv ist, obwohl keine Regeln enthalten sind und mir beim deaktivieren gesagt wird, daß alle Regeln entladen wurden ... ?

[Oberelch]

Hallo SE,

please have a look at
KB 13863702 found in Software Knowledge Base
at IBM.

regards DK

[SE]

KB 13863702 beschreibt die IP-Sicherheits-Konfiguration und Fehlersuche in Journalen. Das ist leider nicht mein Problem. Mein Problem unter V5R1 ist, daß ich keine Chance habe überhaupt irgendwelche IP-Regeln zu definieren.
Um IP-Regeln überhaupt definieren zu können müssen erstmal alle Paketregeln deaktiviert sein - sonst geht das nicht. Dafür geht man unter Netzwerk/IP-Richtlinien/Paketregeln in das Konfigurationsmenü rein und entlädt dort die Paketregeln (Menüpunkt Datei, Inaktivieren = alle Regeln entladen). Dann kann man dort normalerweise in die einzelnen Konfigurationsmenüs hinein, indem man mit der rechten Maustaste z. Bsp. auf Definierte Adressen, Filterschnittstellen, Filter, o.ä. klickt. Aber in den kleinen Kontextmenüs kann man außer Informationen nichts auswählen, da die restlichen Menüpunkte (z. Bsp. neue definierte Adresse oder Eigenschaften) nicht auswählbar (grau) sind. Der Grund dafür scheinen aktive, "nicht existierende Regeln" zu sein, die nach der Regelentladung scheinbar immernoch aktiv sind, und somit eine neue Definition verhindern ?!
Die Paketkonfiguration funktioniert auf V4R4- und V4R5-Systemen einwandfrei (die Regeln lassen sich dort auch entladen) ! Nur auf einem V5R1-System läßt sich in den kleinen Kontextmenüs nichts außer Informationen auswählen.




[Dieser Beitrag wurde von SE am 20. Februar 2002 editiert.]

[Oberelch]

Hallo SE,

vielleicht hilft das weiter:

Saving, activating, and deactivating NAT and IP filter rules
Activating the filter rules you create is the final step to implement the Packet rules process. Before you save and activate your rules you should verify that they are correct. Always attempt to resolve any problems before saving and activating your filter rules. If you activate rules that have errors or are ordered incorrectly, your system will be at risk. Your system has a verify function that is automatically invoked any time you activate your rules. Because this automatic feature only checks for major syntactical errors, you should not rely on it. Make sure you always manually check for errors in your rules.
Saving your filter rules
In addition to verifying, you must save your rules before you can activate them. Anytime you verify a filter rule file, the system gives you the option of saving your file. When you select the verify function a confirmation window displays. If you click OK, another window displays. This is where you specify the name of the file you want to verify. After you choose which file you want verified, you can choose whether you want to cancel or Save. If you click save, the system saves your file and proceeds through the verification process. If you try to activate your rules without saving them, the system will prompt you to save your rules.
Activating your filter rules
You can only activate the rules that you are currently viewing. To activate your filter rules, follow these steps:
1. Within the Packet rules dialog, click the File menu.
2. Select Activate. The system displays a dialog asking you if you want to activate these rules on a specific interface or all interfaces.
3. Click OK. The system displays a dialog which asks you to confirm that you want to verify the rules as you activate them.
4. Click Yes in the dialog. If you have not previously saved your rules file, the system displays the Save Rules As dialog.
5. Specify a name for the rules file and click OK to save the rules.
If the system is able to verify the rules, the system activates them. If there are errors in the rules, these errors will be displayed at the bottom of the window. You can correct them before you attempt to activate the rules again.
When filter rules are not applied to an interface (for example, you are only using NAT rules, not filtering rules), a warning (TCP5AFC) appears. This is not an error. It only verifies that using one interface is indeed, your intention. Always look at the last message. If it says the activation is successful, then the messages above are all warnings.
Note: When you activate new rules on all interfaces, they replace all previous rules on all physical interfaces. Even if a physical interface is not mentioned in the new rules, it will be replaced. However, if you choose to activate new rules on a specific interface, the rules will only replace the rules on that specific interface. Existing rules on other interfaces will be untouched.
Deactivating your filter rules
If for some reason you want to deactivate your filter rules, follow the steps above intended for rule activation. However, instead of selecting Activate, select Deactivate. Then click Yes. This will make your system vulnerable to intruders.
After you configure Packet rules to protect your system, you want to ensure that your system remains secure. To do this, you must know how to use NAT and IP filter administration.

Accessing the Packet rules functions
You must access iSeries Packet rules through Operations Navigator, the graphical interface that enables you to work with your iSeries resources.
To access Packet rules functions (using a V5R1 system), follow these steps:
1. In the left pane of the Operations Navigator window, expand My Connections.
2. Expand the iSeries system on which you want to establish Packet rules.
3. Expand Network.
4. Expand IP Policies.
5. Right-click Packet rules.
6. Select Configuration. The Packet rules window displays. From this window, you can create new rules and manage existing ones.
After you access Packet rules, you can start by Defining addresses and services.

Viewing NAT and IP filter rules
By viewing the filter rules you create, you can check for any visible errors. You may want to view your filter rules not only before activating and testing, but also before printing and backing up. Viewing your rules is not your only way of checking for errors. It is, however, a useful way to minimize or remove the errors before testing.
Your system also has a verify function, but do not solely rely on it. You should take the necessary measures to ensure that you correct all errors manually. This will save you valuable time and resources.
To view inactive rules you need to open the filter rule file.
To view your currently active rules, follow these steps:
1. Open the Packet rules dialog. This dialog displays the rules that are currently loaded and upon which interface they are active.
2. Click View and select Active Rules. A dialog box appears asking if you want to view the currently loaded rules on a specific interface or view the interfaces that have currently loaded rules.
3. Select your option and click OK.
4. Depending on your selection, the appropriate list of all your rules should appear in the right frame of the dialog.
Note: Because this is a 'special' view, you can not edit the rules from within this dialog. You must open your rules file through the File menu to edit your rules.
You should print out the filter rules you create so you can look over them. This allows you to catch any visible mistakes and verify that you included any previously created filter rules files you wanted to add. You should not activate your filter rules without viewing them to verify that they are correct.

Gruß DK

[SE]

Leider Nein.

Das ist eine Schritt-für-Schritt Anleitung wie man Regeln bastelt. Ich weiß schon, wie man Regeln und Adressumsetzungen bastelt und zum Laufen bringt. Das habe ich schon oft gemacht. Es funktioniert ja auch auf V4Rx-Systemen einwandfrei ! Aber auf V5R1-Systemen kommt man erst gar nicht in die Lage überhaupt etwas definieren zu können.
In der Paketregelkonfiguration steht # NO ACTIVE RULES WERE FOUND ON THE SYSTEM.
Ich kann keine Regeln definieren, weil die Option im Kontextmenü nicht auswählbar (grau) ist. -> Dies ist auch immer dann der Fall, wenn die Paketregeln (noch) aktiv sind.
Ich kann versuchen(!) die Paketregeln zu deaktivieren (Datei, Inaktivieren). Normalerweise (V4Rx-Systeme) kann man diesen Menüpunkt (Inaktivieren) genau 1x anklicken, danach ist er nicht mehr auswählbar (grau) und man kann dann Regeln definieren oder die Paketregeln wieder Aktivieren. Bei V5R1-Systemen kann ich die Regeln 1x, 5x, 10x oder auch 100x deaktiveren -> sie werden nicht deaktiviert. Der Inaktivieren-Menüpunkt ist immer wieder wählbar und man kommt durch diesen aktiven-Zustand nicht in die Regelkonfiguration hinein.

[rolf]

Hallo
hast du schon mal versucht die Regeln mit dem native-Befehl zu deaktivieren anstatt ueber OpsNav ?
Befehl ist: RMVTCPTBL *ALL
Vielleicht geht das ?

Gruss Rolf

[SE]

Ja, das habe ich gleich als erstes versucht, da ich an einen Bug im OpsNav V5 dachte. Aber die IP-Sicherheits-Konfiguration funktioniert ja mit dem OpsNav V5 auf V4Rx Systemen. Daher scheint es mir nicht am OpsNav zu liegen ? An nem anderen PC mit OpsNav V4 funktioniert die IP-Sicherheits-Konfiguration auch nur mit den V4Rx Systemen.

RMVTCPTBL hat also leider auch nicht geholfen.

[Dieser Beitrag wurde von SE am 21. Februar 2002 editiert.]

[dwolters]

Hallo,

bei V5R1 lautet die erste Frage doch eigentlich immer sind alles CumTapes und GroupPtf´s drauf. ICh habe auf unserem 5.1er Testsystem kein Problem mit NAT, allerdings hing am Anfang einiges im IP-Stack im argen (ohne PTF´s)?

Gruß Dirk

[SE]

Wie schon oben erwähnt, haben (bzw. hatten ?) wir das neuste Cum-PTF drauf. Da wir das Release schon ein paar Monate haben, ist das letzte PTF ist bei uns das TL01302. Wie man daran erkennen kann, ist das aber noch aus dem Jahre 2001. Hab im Januar noch ein Cum-Tapoe bestgellt, aber das war auch nicht aktueller. Habe inzwischen noch jemanden mit dem gleichen Problem gefunden. Aber wenn sie jetzt sagen, es geht bei Ihnen, werde ich wohl mal schauen ob die IBM inzwischen nicht doch schon ein neues rausgebracht hat ...

[Peter Kosel]

Hallo SE,

mal abgesehen von deinem Problem, hast Du evtl. auf deiner Maschiene V5R1 installiert und anschliessend deine QUSRSYS aus dem "Altsystem" zurückgesichert ?
Wenn ja kann es evtl. daran liegen. Wir haben auch massiv Probleme mit dem OpsNav deswegen. Dazu auch noch auf einem LPAR system. Und das beste ist : Die Kollegen bei der Comfort-Line haben nichtmals ein LPAR-System um zu testen.
Fakt ist auf jedenfall, unter o.A. Umständen bekommst du eine Menge Probleme. Die offizielle Anweisung aus Rochester lautet :
Die Bibliothek QUSRSYS muß neu installiert werden :-)))

Gruß
Peter

[SE]

Jain,

Meinen 530er Test-Server hab ich von V4R5 auf V5R1 angehoben und danach die alten Daten wieder zurückgespeichert. Aber das Problem besteht genauso bei einer nagelneuen 820er LPAR (die war ja vorher nunmal leer) und einer weiteren 530 (die hab ich vorher vollkommen plattgemacht -> kein Update). Bei Beiden wurden danach keine alten Daten zurückgespeichert. Alle 3 sind auf dem gleichen PTF-Stand.
Aber habe gerade gesehen, daß es am 26.2. ein neues Cum-Paket gab. Mal sehen ob es damit läuft ...


LPAR ist ein Thema für sich. Wir haben u.a. auch noch eine 740 mit 11 Partitionen unter V4R4. Mit dem System gibt es auch die meisten Probleme. Manchmal kommt man sich wie ein beta-Tester der IBM damit vor ... oder es ist eine Montags-LPAR ...