Connectrix řady B Brocade: Jak blokovat, zakázat nebo odepřít přístup nástrojů HTTP/Webtools k přepínači Brocade

Summary: Chcete-li blokovat, zakázat nebo odepřít přístup HTTP/Webtools k přepínači Brocade řady B, použijte příkaz IPFilter.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Chcete-li z bezpečnostních důvodů blokovat, zakázat nebo odepřít přístup nástrojů HTTP/Webtools a přístup protokolu Telnet k přepínači Brocade řady B,  

zde jsou uvedeny kroky, které se používají k vytvoření zásady s pravidlem pro odepření přístupu jakékoli IP adresy pomocí portu HTTP 80.

Poznámka: Jelikož výchozí zásadu nelze změnit, je nutné naklonovat sadu filtrů, kterou chcete použít. V tomto příkladu používáme sadu „default_ipv4“:
  1. Přihlaste se k přepínači pomocí protokolu SSH nebo sériového kabelu.
  2. Vytvořte zásadu zkopírováním stávající zásady default_ipv4:
ipfilter --clone DenyWebtools -from default_ipv4
  1. Uložte novou zásadu:
ipfilter --save DenyWebtools
  1. Ověřte, zda je nová zásada správná. Měla by se zobrazit nová zásada:
ipfilter --show
  1. Přidejte do nové zásady pravidlo pro odepření přístupu k protokolu HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny

Dílčí části tohoto příkazu provedou následující:
  • --addrule DenyWebtools: Příkaz přidá pravidlo do sady pravidel DenyWebtools.
  • -rule 3: Příkaz přidá pravidlo na zadané číslo indexu pravidla. Číslo pravidla musí být mezi hodnotami 1 a aktuálně nejvyšším číslem pravidla plus jedna. Pravidlo je také možné nastavit pro rozsah portů.
  • -sip any: Příkaz určuje zdrojovou IP adresu. V tomto příkladu má jakákoli IP adresa připojená k tomuto přepínači zablokovaný protokol HTTP. 
  • -dp: Příkaz určuje číslo portu, na který se pravidlo použije. V tomto příkladu je pro HTTP použit port 80.
  • -proto: Příkaz určuje typ protokolu. V tomto příkladu je použit protokol TCP.
  • -act deny: Příkaz určuje akci povolení nebo odepření, která je s tímto pravidlem spojena.
  1. Vyhledejte pravidlo povolení pro protokol HTTP (80):
ipfilter --show DenyWentools

Výstup:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   
4     any                                            tcp       80     permit   
5     any                                 tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Odeberte pravidlo povolení pro protokol HTTP. Tento příkaz je určen k vyčištění, protože nyní jsou pro HTTP stanovena dvě pravidla, jak je znázorněno výše:
ipfilter --delrule DenyWebtools -rule 4
  1. Znovu jej uložte:
ipfilter --save DenyWebtools
  1. Znovu zkontrolujte zásadu a ověřte, zda je správná:
ipfilter --show DenyWebtools

Výstup:
Name: DenyWebtools, Type: ipv4, State: defined
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   <<< Nové pravidlo
4     any                                       tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Aktivujte novou zásadu:
ipfilter --activate DenyWebtools
  1. Znovu zkontrolujte zásadu a ověřte, zda je správně, že je zásada „DenyWebtools“ ve stavu „Active“: 
ipfilter --show

Výstup:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< Nová zásada je „Active“
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80       deny
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Otevřete nástroj Webtools pomocí podporovaného prohlížeče a přejděte do uživatelského rozhraní Webtools přepínače, který má zakázaný protokol HTTP. Přístup by měl být odepřen.
  2. Ve výstupu „errdump“ přepínače by se mělo zobrazit, že přepínač zamítl přístup pomocí protokolu HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.


Zde je seznam všech výše použitých příkazů v pořadí dle jejich použití:

ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump

Additional Information

Další informace o příkazu ipfilter a jeho použití naleznete v referenční příručce k příkazům Brocade Fabric OS.

Affected Products

Brocade, Connectrix B-Series
Article Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.