Configurar a regra de filtragem pré-IPSec

Atenção: Só deve concluir esta tarefa se tiver especificado que não pretende que a VPN do OS/400 crie os filtros do IKE pré-IPSec automaticamente.

Dois servidores de Internet Key Exchange (IKE) negoceiam e atualizam dinamicamente as chaves.  O IKE utiliza a bem conhecida porta 500.  Para que o IKE funcione corretamente, necessita de permitir datagramas UDP pela porta 500 para este tráfego IP.  Para fazê-lo, crie um par de regras de filtragem: uma para o tráfego de recepção e outra para o de envio, de modo a que a ligação possa negociar chaves automaticamente para proteger a ligação:

1. No Operations Navigator, expanda o servidor --> Rede--> Políticas de IP.
2. Clique com o botão direito do mouse sobre Regras de Pacotes IP e selecione Configuração.  Isto apresenta a interface Regras de Pacotes, que lhe permite criar ou editar regras NAT e de filtragem para o iSeries AS/400.
3. No menu Arquivo, selecione Novo Arquivo.
4. Clique com o botão direito do mouse sobre Filtros e selecione Novo Filtro.
5. Na página Geral, especifique um nome do conjunto para as regras de filtragem da VPN.  É recomendada a criação de pelo menos três conjuntos diferentes: o primeiro para as regras de filtragem pré-IPSec, o segundo para as regras de filtragem de políticas e o último para regras de filtragem PERMIT e DENY.  O conjunto que contém as regras de filtragem pré-IPSec tem de ter o prefixo preipsec.  Por exemplo, preipsecfiltros.
6. No campo Ação, selecione PERMIT na lista pendente.
7. No campo Direção, selecione OUTBOUND na lista pendente.
8. No campo Nome do endereço de origem, selecione = na primeira lista na primeira lista pendente e, em seguida, introduza o endereço de IP do servidor de chaves local no segundo campo.  Especificou o endereço de IP do servidor de chaves local na política do IKE.
9. No campo Nome do endereço de destino, selecione = na primeira lista na primeira lista pendente e, em seguida, introduza o endereço de IP do servidor de chaves remoto no segundo campo.  Especificou também o endereço de IP do servidor de chaves remoto na política do IKE.
10. Na página Serviços, selecione Serviço.  Isto ativa os campos Protocolo, Porta de origem e Porta de destino.
11. No campo Protocolo, selecione UDP na lista pendente.
12. Para Porta de origem, selecione = no primeiro campo e, depois, introduza 500 no segundo campo.
13. Repita o passo anterior para Porta de destino.
14. Clique sobre OK.
15. Repita estes passos para configurar o filtro INBOUND.  Utilize o mesmo nome do conjunto e os mesmo endereços inversos, conforme a necessidade.

Nota: Uma opção menos segura, mas mais fácil, para permitir o tráfego do IKE através da ligação consiste na configuração de apenas um filtro pré-IPSec e na utilização de valores globais (*) nos campos Direção, Nome do endereço de origem e Nome do endereço de destino.

O próximo passo é configurar uma regra de filtragem de políticas para definir qual o tráfego IP protegido pela ligação da VPN.