Connectrix B-serie Brocade: Hvordan kan jeg blokere, deaktivere eller nægte HTTP/Webtools-adgang til en Brocade-switch
Summary: Hvis du vil blokere, deaktivere eller nægte HTTP/Webtools-adgang til en switch i Brocade B-serien, skal du bruge kommandoen IPFilter.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
For at blokere, deaktivere eller nægte HTTP/Webtools-adgang, telnetadgang til en Brocade B-serie af sikkerhedsmæssige årsager.
Her er de trin, der bruges til at oprette en politik med en regel til at nægte adgang for enhver IP vha. HTTP-port 80.
Bemærk: Da standardpolitikken ikke kan ændres, skal du klone det filtersæt, du vil bruge. I dette eksempel bruger vi sættet "default_ipv4"):
Her er en liste over alle de kommandoer, der bruges ovenfor i brugsrækkefølgen:
ipfilter --clone DenyWebtools -fra default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Her er de trin, der bruges til at oprette en politik med en regel til at nægte adgang for enhver IP vha. HTTP-port 80.
Bemærk: Da standardpolitikken ikke kan ændres, skal du klone det filtersæt, du vil bruge. I dette eksempel bruger vi sættet "default_ipv4"):
- Log på switchen med SSH eller serielt kabel.
- Opret en politik ved at kopiere den eksisterende politik for default_ipv4:
ipfilter --clone DenyWebtools -from default_ipv4
- Gem den nye politik:
ipfilter --save DenyWebtools
- Kontroller, at den nye politik er korrekt. Du bør nu kunne se den nye politik:
ipfilter --show
- Føj en regel til den nye politik for at nægte HTTP-adgang:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Denne kommando, som er opdelt efter underkommandoer, gør følgende:
Denne kommando, som er opdelt efter underkommandoer, gør følgende:
- --addrule DenyWebtools: Kommandoen føjer reglen til DenyWebtools-regelsættet.
- -regel 3: Kommandoen tilføjer en regel på det angivne indeksnummer for reglen. Regelnummeret skal være mellem 1 og det aktuelle maksimale regelnummer plus ét. Du kan også angive en regel for en række porte.
- -sip any: Kommandoen angiver kildens IP-adresse. I dette eksempel har enhver IP, der opretter forbindelse til denne switch, HTTP blokeret.
- -dp: Kommandoen angiver det portnummer, som vi anvender denne regel på. I dette eksempel er porten til HTTP 80.
- - proto: Kommandoen angiver protokoltypen. I dette eksempel er protokollen TCP.
- – Afvis handling: Kommandoen angiver den tilladelses- eller afvis-handling, der er knyttet til denne regel.
- Find tilladelsesreglen for HTTP (80):
ipfilter --show DenyWentools
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: defineret (ændret)
Rule Source IP Protocol Dest Port Action1
enhver tcp 22 tillader2
enhver tcp 23-tilladelse3
enhver tcp 80 afviser <<< ny regel4
enhver tcp 80-tilladelse<<< gammel regel
5 Enhver tcp 443 tillader6
enhver udp 161-tilladelse7
enhver udp 123-tilladelse8
eventuel tcp 600-1023-tilladelse9
enhver udp 600-1023-tilladelse
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: defineret (ændret)
Rule Source IP Protocol Dest Port Action1
enhver tcp 22 tillader2
enhver tcp 23-tilladelse3
enhver tcp 80 afviser <<< ny regel4
enhver tcp 80-tilladelse<<< gammel regel
5 Enhver tcp 443 tillader6
enhver udp 161-tilladelse7
enhver udp 123-tilladelse8
eventuel tcp 600-1023-tilladelse9
enhver udp 600-1023-tilladelse
- Fjern tilladelsesreglen for HTTP. Dette er til oprydning, da der nu er to HTTP-regler som vist ovenfor:
ipfilter --delrule DenyWebtools -rule 4
- Gem igen:
ipfilter --save DenyWebtools
- Kontroller politikken igen for at kontrollere, at den er korrekt:
ipfilter --show DenyWebtools
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: defineret
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny<<< new Rule4
any tcp 80 permit
5 Enhver tcp 443 tillader6
enhver udp 161-tilladelse7
enhver udp 123-tilladelse8
eventuel tcp 600-1023-tilladelse9
enhver udp 600-1023-tilladelse
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: defineret
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny<<< new Rule4
any tcp 80 permit
5 Enhver tcp 443 tillader6
enhver udp 161-tilladelse7
enhver udp 123-tilladelse8
eventuel tcp 600-1023-tilladelse9
enhver udp 600-1023-tilladelse
- Aktivér den nye politik:
ipfilter --activate DenyWebtools
- Kontroller politikken igen for at kontrollere, at den er korrekt, at politikken "DenyWebtools" er aktiv:
ipfilter --show
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: aktiv <<<<<<<<<<<<<<<<<< ny politik er "aktiv"
Rule Source IP Protocol Dest Port Action1
enhver tcp 22 tillader
2 enhver tcp 23-tilladelse3
, hvis tcp 80 nægter
4 enhver tcp 80-tilladelse5
enhver tcp 443-tilladelse6
enhver udp 161 tillader7
enhver udp 123-tilladelse8
enhver tcp 600-1023 tillader9
enhver udp 600-1023-tilladelse
Output:
Navn: DenyWebtools, Type: ipv4, Tilstand: aktiv <<<<<<<<<<<<<<<<<< ny politik er "aktiv"
Rule Source IP Protocol Dest Port Action1
enhver tcp 22 tillader
2 enhver tcp 23-tilladelse3
, hvis tcp 80 nægter
4 enhver tcp 80-tilladelse5
enhver tcp 443-tilladelse6
enhver udp 161 tillader7
enhver udp 123-tilladelse8
enhver tcp 600-1023 tillader9
enhver udp 600-1023-tilladelse
- Åbn Webtools ved hjælp af en understøttet browser, og prøv at få adgang til webtools-brugergrænsefladen for den switch, hvor HTTP er deaktiveret, og som bør nægtes.
- I switchens "errdump"-output bør du se, at switchen har afvist adgang vha. HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Hændelse: Sikkerhedsovertrædelse, Status: mislykkedes, oplysninger: Uautoriseret vært med IP-adressen xx.xx.xx.xx forsøger at oprette forbindelse ved hjælp af TCP-port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Hændelse: Sikkerhedsovertrædelse, Status: mislykkedes, oplysninger: Uautoriseret vært med IP-adressen xx.xx.xx.xx forsøger at oprette forbindelse ved hjælp af TCP-port 80.
Her er en liste over alle de kommandoer, der bruges ovenfor i brugsrækkefølgen:
ipfilter --clone DenyWebtools -fra default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Additional Information
Se Brocade Fabric OS Command Reference Manual for at få yderligere oplysninger om ipfilter-kommandoen og dens brug.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.