Connectrix B-Series Brocade:HTTP/WebツールのBrocadeスイッチへのアクセスをブロック、無効化、または拒否する方法
Summary: HTTP/WebツールのBrocade Bシリーズ スイッチへのアクセスをブロック、無効化、または拒否するには、IPFilterコマンドを使用します。
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
HTTP/Webツールのアクセスをブロック、無効化、または拒否するには、セキュリティ上の理由から、Brocade Bシリーズにtelnetアクセスを行います。
ここでは、HTTPポート80を使用して任意のIPによるアクセスを拒否するルールを含むポリシーを作成する手順について説明します。
メモ:デフォルト ポリシーは変更できないため、使用するフィルター セットのクローンを作成する必要があります。この例では、「default_ipv4」セットを使用しています。
次に、上記で使用されているすべてのコマンドのリストを使用順に示します。
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
ここでは、HTTPポート80を使用して任意のIPによるアクセスを拒否するルールを含むポリシーを作成する手順について説明します。
メモ:デフォルト ポリシーは変更できないため、使用するフィルター セットのクローンを作成する必要があります。この例では、「default_ipv4」セットを使用しています。
- SSHまたはシリアル ケーブルを使用してスイッチにログインします。
- 既存のdefault_ipv4ポリシーをコピーして、ポリシーを作成します。
ipfilter --clone DenyWebtools -from default_ipv4
- 新しいポリシーを保存します。
ipfilter --save DenyWebtools
- 新しいポリシーが正しいことを確認します。新しいポリシーが表示されます。
ipfilter --show
- HTTPアクセスを拒否するルールを新しいポリシーに追加します。
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
サブコマンドで区切られたこのコマンドは、次の操作を実行します。
サブコマンドで区切られたこのコマンドは、次の操作を実行します。
- --addrule DenyWebtools:このコマンドは、DenyWebtoolsルールセットにルールを追加します。
- -rule 3:このコマンドは、指定したルール インデックス番号にルールを追加します。ルール番号は、1から現在の最大ルール番号 + 1の間である必要があります。また、一連のポートにルールを設定することもできます。
- -sip any:このコマンドは、ソースIPアドレスを指定します。この例では、このスイッチに接続するすべてのIPでHTTPがブロックされています。
- -dp:このコマンドは、このルールを適用するポート番号を指定します。この例では、HTTPのポートは80です。
- -proto:このコマンドは、プロトコル タイプを指定します。この例では、プロトコルはTCPです。
- -act deny:このコマンドは、このルールに関連付けられている許可または拒否アクションを指定します。
- HTTPの許可ルールを検索します(80)。
ipfilter --show DenyWentools
出力:
名前:DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
出力:
名前:DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- HTTPの許可ルールを削除します。上に示すように、2つのHTTPルールがあるため、クリーンアップします。
ipfilter --delrule DenyWebtools -rule 4
- 再度保存します。
ipfilter --save DenyWebtools
- ポリシーを再度チェックして、正しいことを確認します。
ipfilter --show DenyWebtools
出力:
名前:DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
出力:
名前:DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- 新しいポリシーをアクティブ化します。
ipfilter --activate DenyWebtools
- 「DenyWebtools」ポリシーが正しく、アクティブであることを確認します。
ipfilter --show
出力:
名前:DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
出力:
名前:DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- サポートされているブラウザーを使用してWebツールを開き、HTTPが無効になっているスイッチのWebツールUIにアクセスしてみます。これは拒否されるはずです。
- スイッチの「errdump」出力で、スイッチがHTTPを使用したアクセスを拒否したことが表示されます。
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
次に、上記で使用されているすべてのコマンドのリストを使用順に示します。
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Additional Information
ipfilterコマンドとその使用方法の詳細については、 Brocade Fabric OS Command Reference Manual を参照してください。
このビデオを参照してください。
このビデオを参照してください。
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.