Connectrix Brocade серии B. Как заблокировать, отключить или отклонить доступ по HTTP/WebTools к коммутатору Brocade
Summary: Чтобы заблокировать, отключить или отклонить доступ по HTTP/WebTools к коммутатору Brocade серии B, используйте команду «IPFilter».
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Чтобы заблокировать, отключить или отклонить доступ по HTTP/WebTools, по соображениям безопасности необходимо получить доступ к Brocade серии B по протоколу telnet.
Ниже приведены действия, которые требуется предпринять для создания политики с правилом для отклонения доступа посредством любого IP-адреса с использованием порта HTTP 80.
Примечание. Поскольку политика по умолчанию не может быть изменена, необходимо клонировать любой набор фильтров, который вы хотите использовать. В данном примере используется набор «default_ipv4»).
Ниже приведен список всех команд, представленных выше, в порядке их использования.
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Ниже приведены действия, которые требуется предпринять для создания политики с правилом для отклонения доступа посредством любого IP-адреса с использованием порта HTTP 80.
Примечание. Поскольку политика по умолчанию не может быть изменена, необходимо клонировать любой набор фильтров, который вы хотите использовать. В данном примере используется набор «default_ipv4»).
- Выполните вход в коммутатор с помощью SSH или последовательного кабеля.
- Создайте политику, скопировав существующую политику «default_ipv4».
ipfilter --clone DenyWebtools -from default_ipv4
- Сохраните новую политику.
ipfilter --save DenyWebtools
- Убедитесь в правильности новой политики. Вы увидите новую политику.
ipfilter --show
- Добавьте правило в новую политику, чтобы отклонить доступ по HTTP.
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Эта команда, которая разбивается на подкоманды, выполняет следующие действия.
Эта команда, которая разбивается на подкоманды, выполняет следующие действия.
- --addrule DenyWebtools. Команда добавляет правило в набор правил «DenyWebtools».
- -rule 3. Команда добавляет правило с указанным номером индекса правила. Номер правила должен быть от 1 до текущего максимального номера правила плюс один. Можно также задать правило для диапазона портов.
- -sip any. Команда задает исходный IP-адрес. В данном примере любой IP-адрес, подключающийся к этому коммутатору, блокирует HTTP.
- -dp. Команда указывает номер порта, к которому применяется это правило. В данном примере используется номер порта для HTTP 80.
- -proto. Команда задает тип протокола. В данном примере используется тип протокола TCP.
- -act deny. Команда указывает действие разрешения или отклонения, связанное с этим правилом.
- Найдите правило разрешения для HTTP (80).
ipfilter --show DenyWentools
Output:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Output:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Удалите правило разрешения для HTTP. Это необходимо для очистки, так как теперь существует два правила HTTP, как показано выше.
ipfilter --delrule DenyWebtools -rule 4
- Сохраните его еще раз.
ipfilter --save DenyWebtools
- Проверьте политику еще раз, чтобы убедиться, что она верна.
ipfilter --show DenyWebtools
Output:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Output:
Name: DenyWebtools, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny <<< New Rule
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Активируйте новую политику.
ipfilter --activate DenyWebtools
- Проверьте политику еще раз, чтобы убедиться, что она верна, а политика «DenyWebtools» активна.
ipfilter --show
Output:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
Output:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 deny
4 any tcp 80 permit
5 any tcp 443 permit
6 any udp 161 permit
7 any udp 123 permit
8 any tcp 600 - 1023 permit
9 any udp 600 - 1023 permit
- Откройте WebTools с помощью поддерживаемого браузера и попробуйте получить доступ к пользовательскому интерфейсу WebTools для коммутатора, для которого отключен протокол HTTP, который необходимо запретить.
- В выходных данных «errdump» коммутатора должно быть видно, что коммутатор отклонил доступ по HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.
Ниже приведен список всех команд, представленных выше, в порядке их использования.
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump
Additional Information
В справочном руководстве по командам Brocade Fabric OS можно найти дополнительные сведения о команде ipfilter и ее использовании.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.