Brocade i Connectrix B-serien: Hvordan kan jeg blokkere, deaktivere eller nekte HTTP/Webtools tilgang til en Brocade-svitsj
Summary: Hvis du vil blokkere, deaktivere eller nekte HTTP/Webtools tilgang til en svitsj i Brocade B-serien, bruker du IPFilter-kommandoen.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Hvis du vil blokkere, deaktivere eller nekte TILGANG TIL HTTP/Webtools, kan du av sikkerhetsmessige årsaker gi Telnet tilgang til en Brocade B-serie.
Her er trinnene som brukes til å opprette en policy med en regel for å nekte tilgang via IP ved hjelp av HTTP-port 80.
Merk: Siden standardpolicyen ikke kan endres, må du klone det filtersettet du vil bruke. I dette eksemplet bruker vi settet "default_ipv4" (default_ipv4):
Her er en liste over alle kommandoene som brukes ovenfor i bruksrekkefølgen:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Her er trinnene som brukes til å opprette en policy med en regel for å nekte tilgang via IP ved hjelp av HTTP-port 80.
Merk: Siden standardpolicyen ikke kan endres, må du klone det filtersettet du vil bruke. I dette eksemplet bruker vi settet "default_ipv4" (default_ipv4):
- Logg på svitsjen ved hjelp av SSH eller ved hjelp av seriell kabel.
- Opprett en policy ved å kopiere eksisterende policy for default_ipv4:
ipfilter --clone DenyWebtools -from default_ipv4
- Lagre den nye policyen:
ipfilter --save DenyWebtools
- Kontroller at den nye policyen er riktig. Du skal se den nye policyen:
ipfilter --show
- Legg til en regel i den nye policyen for å nekte HTTP-tilgang:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Denne kommandoen, som deles opp av underkommandoer, gjør følgende:
Denne kommandoen, som deles opp av underkommandoer, gjør følgende:
- --addrule DenyWebtools: Kommandoen legger til regelen i regelsettet For DenyWebtools.
- -regel 3: Kommandoen legger til en regel ved det angitte regelindeksnummeret. Regelnummeret må være mellom 1 og gjeldende maksimalt regelnummer pluss én. Du kan også angi en regel for et område med porter.
- -sip alle: Kommandoen angir kilde-IP-adressen. I dette eksemplet er enhver IP-tilkobling til denne svitsjen HTTP blokkert.
- -dp: Kommandoen angir portnummeret som vi bruker denne regelen på. I dette eksemplet er porten for HTTP 80.
- -proto: Kommandoen angir protokolltypen. I dette eksemplet er protokollen TCP.
- -act deny: Kommandoen angir tillatelses- eller avslå-handlingen som er tilknyttet denne regelen.
- Finn tillatelsesregelen for HTTP (80):
ipfilter --show Deny Adresser
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: definert (endret)
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny <<< New Rule4
any tcp 80 permit<<< Old Rule
5 alle tcp 443 permit6
udp 161 permit7
udp 123 permit8
any tcp 600-1023 permit9 any udp 600-1023 permit
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: definert (endret)
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny <<< New Rule4
any tcp 80 permit<<< Old Rule
5 alle tcp 443 permit6
udp 161 permit7
udp 123 permit8
any tcp 600-1023 permit9 any udp 600-1023 permit
- Fjern tillatelsesregelen for HTTP. Dette er for opprydding ettersom det nå er to HTTP-regler som vist ovenfor:
ipfilter --delrule DenyWebtools -rule 4
- Lagre den på nytt:
ipfilter --save DenyWebtools
- Kontroller policyen på nytt for å kontrollere at den er riktig:
ipfilter --show DenyWebtools
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: definert
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny<<< New Rule4
any tcp 80 permit
5 alle tcp 443 permit6
udp 161 permit7
udp 123 permit8
any tcp 600-1023 permit9 any udp 600-1023 permit
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: definert
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny<<< New Rule4
any tcp 80 permit
5 alle tcp 443 permit6
udp 161 permit7
udp 123 permit8
any tcp 600-1023 permit9 any udp 600-1023 permit
- Aktiver den nye policyen:
ipfilter --activate DenyWebtools
- Kontroller policyen på nytt for å kontrollere at den er riktig, at policyen "DenyWebtools" er aktiv:
ipfilter --show
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: aktiv <<<<<<<<<<<<<<<<<< ny policy er "Active"
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny
4 alle tcp 80 permit5
alle tcp 443 permit6
udp 161 permit7
eventuelle udp 123 permit8
any tcp 600-1023 permit9
any udp 600-1023 permit
Utdata:
Navn: DenyWebtools, type: ipv4, tilstand: aktiv <<<<<<<<<<<<<<<<<< ny policy er "Active"
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny
4 alle tcp 80 permit5
alle tcp 443 permit6
udp 161 permit7
eventuelle udp 123 permit8
any tcp 600-1023 permit9
any udp 600-1023 permit
- Åpne webverktøy ved hjelp av en støttet nettleser, og prøv å få tilgang til Webtools-brukergrensesnittet for svitsjen som har HTTP deaktivert.
- I svitsjen "errdump" skal du se at svitsjen har avvist tilgangen ved hjelp av HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, hendelse:sikkerhetsbrudd, status: mislyktes, informasjon: Uautorisert vert med IP-adresse xx.xx.xx.xx prøver å etablere tilkobling ved hjelp av TCP-port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, hendelse:sikkerhetsbrudd, status: mislyktes, informasjon: Uautorisert vert med IP-adresse xx.xx.xx.xx prøver å etablere tilkobling ved hjelp av TCP-port 80.
Her er en liste over alle kommandoene som brukes ovenfor i bruksrekkefølgen:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Additional Information
Se Brocade Fabric OS Command Reference Manual hvis du vil ha mer informasjon om ipfilterkommandoen og bruken.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.