Connectrix Brocade B-Serie: Wie kann ich den HTTP-/Webtools-Zugriff auf einen Brocade-Switch blockieren, deaktivieren oder verweigern?
Summary: Verwenden Sie zum Blockieren, Deaktivieren oder Verweigern des HTTP/Webtools-Zugriffs auf einen Brocade-Switch der B Serie den IPFilter-Befehl.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Zum Blockieren, Deaktivieren oder Verweigern des HTTP-/Webtools-Zugriffs auf Geräte der Brocade B Serie aus Sicherheitsgründen.
Hier sind die Schritte, die verwendet werden, um eine Policy mit einer Regel zu erstellen, die den Zugriff von einer jeder IP über HTTP-Port 80 verweigert.
Hinweis: Da die Standard-Policy nicht geändert werden kann, müssen Sie den gewünschten Filtersatz klonen. In diesem Beispiel verwenden wir den Satz „default_ipv4“):
Hier ist eine Liste aller oben verwendeten Befehle in der Reihenfolge der Verwendung:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Hier sind die Schritte, die verwendet werden, um eine Policy mit einer Regel zu erstellen, die den Zugriff von einer jeder IP über HTTP-Port 80 verweigert.
Hinweis: Da die Standard-Policy nicht geändert werden kann, müssen Sie den gewünschten Filtersatz klonen. In diesem Beispiel verwenden wir den Satz „default_ipv4“):
- Melden Sie sich über SSH oder über ein serielles Kabel am Switch an.
- Erstellen Sie eine Policy, indem Sie die vorhandene Policy default_ipv4 kopieren:
ipfilter --clone DenyWebtools -from default_ipv4
- Speichern Sie die neue Policy:
ipfilter --save DenyWebtools
- Überprüfen Sie, ob die neue Policy richtig ist. Die neue Policy sollte angezeigt werden:
ipfilter --show
- Fügen Sie der neuen Policy eine Regel hinzu, um den HTTP-Zugriff zu verweigern:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Dieser Befehl, der nach Unterbefehlen unterteilt ist, führt die folgenden Schritte aus:
Dieser Befehl, der nach Unterbefehlen unterteilt ist, führt die folgenden Schritte aus:
- --addrule DenyWebtools: Mit dem Befehl wird die Regel zum DenyWebtools-Regelsatz hinzugefügt.
- -rule 3: Mit dem Befehl wird eine Regel mit der angegebenen Regelindexnummer hinzugefügt. Die Regelnummer muss zwischen 1 und der aktuellen maximalen Regelnummer plus eins liegen. Sie können auch eine Regel für einen Bereich von Ports festlegen.
- -sip any: Der Befehl gibt die Quell-IP-Adresse an. In diesem Beispiel wird für jede IP-Adresse, die mit diesem Switch verbunden ist, HTTP blockiert.
- -dp: Der Befehl gibt die Portnummer an, auf die diese Regel angewendet wird. In diesem Beispiel ist der Port für HTTP 80.
- -proto: Der Befehl gibt den Protokolltyp an. In diesem Beispiel ist das Protokoll TCP.
- -act deny: Der Befehl gibt die mit dieser Regel verknüpfte Aktion „permit“ oder „deny“ an.
- Suchen Sie die Genehmigungsregel für HTTP (80):
ipfilter --show DenyWentools
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Entfernen Sie die Genehmigungsregel für HTTP. Dies dient der Bereinigung, da es jetzt zwei HTTP-Regeln gibt, wie oben gezeigt:
ipfilter --delrule DenyWebtools -rule 4
- Speichern Sie erneut:
ipfilter --save DenyWebtools
- Überprüfen Sie die Richtlinie erneut, um festzustellen, ob sie korrekt ist:
ipfilter --show DenyWebtools
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< Neue Regel
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< Neue Regel
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Aktivieren Sie die neue Policy:
ipfilter --activate DenyWebtools
- Überprüfen Sie erneut, ob die Richtlinie korrekt ist und dass die Richtlinie DenyWebtools aktiv ist:
ipfilter --show
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< Neue Policy ist „Active“
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Ausgabe:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< Neue Policy ist „Active“
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Öffnen Sie Webtools mithilfe eines unterstützten Browsers und versuchen Sie, auf die Webtools-Benutzeroberfläche für den Switch zuzugreifen, für den HTTP deaktiviert ist und der verweigert werden sollte.
- In der Switchausgabe „errdump“ sollten Sie sehen, dass der Switch den Zugriff über HTTP abgelehnt hat.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Der nicht autorisierte Host mit der IP-Adresse xx.xx.xx.xx versucht, eine Verbindung über TCP-Port 80 herzustellen.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Der nicht autorisierte Host mit der IP-Adresse xx.xx.xx.xx versucht, eine Verbindung über TCP-Port 80 herzustellen.
Hier ist eine Liste aller oben verwendeten Befehle in der Reihenfolge der Verwendung:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Additional Information
Im Befehlsreferenzhandbuch zum Brocade Fabric OS finden Sie weitere Informationen über den Befehl ipfilter und seine Verwendung.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.