Connectrix B-Series Brocade: Sposób blokowania, wyłączania lub odmowy dostępu HTTP/narzędzi sieciowych do przełącznika programu Brocade
Summary: Aby zablokować, wyłączyć lub odmówić dostępu HTTP/narzędzi sieciowych do przełącznika serii B programu Brocade, użyj polecenia IPFilter.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Aby blokować, wyłączać lub odmawiać dostępu do HTTP/narzędzi internetowych, dostępu za pomocą protokołu Telnet do serii B programu Brocade ze względów bezpieczeństwa.
Poniżej przedstawiono czynności, które są używane do tworzenia zasady z regułą odrzucania dostępu przez jakikolwiek adres IP przy użyciu portu HTTP 80.
Uwaga: Ponieważ nie można zmienić zasad domyślnych, należy sklonować ustawienia filtrów, które mają być używane. W tym przykładzie używamy zestawu „default_ipv4”):
Poniżej znajduje się lista wszystkich poleceń używanych powyżej w następującej kolejności:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Poniżej przedstawiono czynności, które są używane do tworzenia zasady z regułą odrzucania dostępu przez jakikolwiek adres IP przy użyciu portu HTTP 80.
Uwaga: Ponieważ nie można zmienić zasad domyślnych, należy sklonować ustawienia filtrów, które mają być używane. W tym przykładzie używamy zestawu „default_ipv4”):
- Zaloguj się do przełącznika za pomocą protokołu SSH lub za pomocą kabla szeregowego.
- Utwórz zasady, kopiując istniejące zasady default_ipv4:
ipfilter --clone DenyWebtools -from default_ipv4
- Zapisz nowe zasady:
ipfilter --save DenyWebtools
- Sprawdź czy nowe zasady są prawidłowe. Nowe zasady powinny być widoczne:
ipfilter --show
- Dodaj regułę do nowej zasady, aby uniemożliwić dostęp HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
To polecenie, które jest podzielone według poleceń podrzędnych, wykonuje następujące czynności:
To polecenie, które jest podzielone według poleceń podrzędnych, wykonuje następujące czynności:
- --addrule DenyWebtools: Polecenie dodaje regułę do zestawu reguł DenyWebtools.
- -rule 3: Polecenie dodaje regułę w określonym numerze indeksu reguły. Numer reguły musi wynosić od 1 do bieżącego maksymalnego numeru reguły plus jeden. Można także ustawić regułę dla szeregu portów.
- -sip any: Polecenie określa źródłowy adres IP. W tym przykładzie każdy adres IP łączący się z tym przełącznikiem ma zablokowany protokół HTTP.
- -dp: Polecenie określa numer portu, do których stosujemy tę regułę. W tym przykładzie port HTTP to 80.
- -proto: Polecenie określa typ protokołu. W tym przykładzie protokół to TCP.
- -act deny: Polecenie określa zezwolenie lub odmowę działania powiązanego z tą regułą.
- Znajdź regułę zezwolenia dla HTTP (80):
ipfilter --show DenyWentools
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Usuń regułę zezwolenia dla HTTP. Służy to do wyczyszczenia, ponieważ obecnie istnieją dwie reguły HTTP, jak pokazano powyżej:
ipfilter --delrule DenyWebtools -reguła 4
- Zapisz ponownie:
ipfilter --save DenyWebtools
- Sprawdź ponownie zasady, aby sprawdzić, czy są prawidłowe:
ipfilter --show DenyWebtools
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< Nowa reguła
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< Nowa reguła
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Aktywuj nowe zasady:
ipfilter --activate DenyWebtools
- Sprawdź ponownie zasady, aby sprawdzić, czy są one prawidłowe, a zasada „DenyWebtools” jest aktywna:
ipfilter --show
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< Nowe zasady są aktywne
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Dane wyjściowe:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< Nowe zasady są aktywne
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Otwórz narzędzia sieciowe przy użyciu obsługiwanej przeglądarki i spróbuj uzyskać dostęp do interfejsu użytkownika narzędzi internetowych dla przełącznika z wyłączonym protokołem HTTP, który ma być odrzucony.
- W danych wyjściowych „errdump” przełącznika powinien być widoczny komunikat o odrzuceniu dostępu za pomocą protokołu HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
Poniżej znajduje się lista wszystkich poleceń używanych powyżej w następującej kolejności:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Additional Information
Dodatkowe informacje na temat polecenia ipfilter i jego wykorzystania można znaleźć w podręczniku referencyjnym poleceń Brocade Fabric OS.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.