Connectrix B-Serien Brocade: Hur blockerar, inaktiverar eller nekar jag HTTP/Webtools åtkomst till en Brocade-switch?
Summary: Använd IPFilter-kommandot för att blockera, inaktivera eller neka HTTP/Webtools åtkomst till en switch i Brocade B-serien.
This article applies to
This article does not apply to
This article is not tied to any specific product.
Not all product versions are identified in this article.
Instructions
Om du vill blockera, inaktivera eller neka HTTP-/Webtools-åtkomst, telnet-åtkomst till en Brocade B-serie av säkerhetsskäl.
Här är de steg som används för att skapa en policy med en regel för att neka åtkomst av en IP-adress med HTTP-port 80.
Observera: Eftersom standardpolicyn inte kan ändras måste du klona den filteruppsättning du vill använda. I det här exemplet använder vi uppsättningen "default_ipv4"):
Här är en lista över alla kommandon som används ovan i användningsordningen:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Här är de steg som används för att skapa en policy med en regel för att neka åtkomst av en IP-adress med HTTP-port 80.
Observera: Eftersom standardpolicyn inte kan ändras måste du klona den filteruppsättning du vill använda. I det här exemplet använder vi uppsättningen "default_ipv4"):
- Logga in på switchen med SSH eller med en seriell kabel.
- Skapa en policy genom att kopiera den befintliga default_ipv4 policyn:
ipfilter --clone DenyWebtools - från default_ipv4
- Spara den nya principen:
ipfilter --save DenyWebtools
- Kontrollera att den nya principen är korrekt. Du bör se den nya principen:
ipfilter --show
- Lägg till en regel i den nya policyn för att neka HTTP-åtkomst:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Det här kommandot, som är uppdelat i underkommandon, gör följande:
Det här kommandot, som är uppdelat i underkommandon, gör följande:
- --addrule DenyWebtools: Kommandot lägger till regeln i regeluppsättningen DenyWebtools.
- -regel 3: Kommandot lägger till en regel på det angivna regelindexnumret. Regelnumret måste vara mellan 1 och det aktuella maximala regelnumret plus ett. Du kan även ställa in en regel för ett antal portar.
- -sippa alla: Kommandot anger källans IP-adress. I det här exemplet har alla IP-adresser som ansluter till den här switchen HTTP blockerat.
- -dp: Kommandot anger det portnummer som vi tillämpar den här regeln på. I det här exemplet är porten för HTTP 80.
- – för: Kommandot anger protokolltypen. I det här exemplet är protokollet TCP.
- – nekad handling: Kommandot anger den tillåtna eller nekande åtgärd som är kopplad till den här regeln.
- Hitta tillståndsregeln för HTTP (80):
ipfilter --show Deny Interoperabilitools
Utdata:
Namn: NekaWebtools, typ: ipv4, tillstånd: definierad (ändrad)
Regelkälla IP Protocol Dest Port Action1
alla tcp 22 tillåter2
alla tcp 23 permit3
alla tcp 80 nekar <<< ny regel4
alla tcp 80-tillstånd<<< gammal regel
5 alla tcp 443 permit6
alla udp 161 tillstånd7
alla udp 123 tillåt8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
Utdata:
Namn: NekaWebtools, typ: ipv4, tillstånd: definierad (ändrad)
Regelkälla IP Protocol Dest Port Action1
alla tcp 22 tillåter2
alla tcp 23 permit3
alla tcp 80 nekar <<< ny regel4
alla tcp 80-tillstånd<<< gammal regel
5 alla tcp 443 permit6
alla udp 161 tillstånd7
alla udp 123 tillåt8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
- Ta bort tillståndsregeln för HTTP. Detta är för rensning eftersom det nu finns två HTTP-regler som visas ovan:
ipfilter --delrule DenyWebtools -regel 4
- Spara den igen:
ipfilter --save DenyWebtools
- Kontrollera policyn igen för att kontrollera att den är korrekt:
ipfilter --show DenyWebtools
Utdata:
Namn: NekaWebtools, typ: ipv4, status: definierad
Regelkälla IP Protocol Dest Port Action1
alla tcp 22 tillåter2
alla tcp 23 permit3
alla tcp 80 neka<<< ny regel4
alla tcp 80-tillstånd
5 alla tcp 443 permit6
alla udp 161 tillstånd7
alla udp 123 tillåt8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
Utdata:
Namn: NekaWebtools, typ: ipv4, status: definierad
Regelkälla IP Protocol Dest Port Action1
alla tcp 22 tillåter2
alla tcp 23 permit3
alla tcp 80 neka<<< ny regel4
alla tcp 80-tillstånd
5 alla tcp 443 permit6
alla udp 161 tillstånd7
alla udp 123 tillåt8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
- Aktivera den nya principen:
ipfilter --activate DenyWebtools
- Kontrollera policyn igen för att kontrollera att den är korrekt och att principen "DenyWebtools" är aktiv:
ipfilter --show
Utdata:
Namn: NekaWebtools, typ: ipv4, tillstånd: aktiv <<<<<<<<<<<<<<<<<< Ny policy är "Active"
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 neka
4 alla tcp 80-tillstånd5
alla tcp 443 tillåt6
alla udp 161 tillåt7
alla udp 123 tillstånd8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
Utdata:
Namn: NekaWebtools, typ: ipv4, tillstånd: aktiv <<<<<<<<<<<<<<<<<< Ny policy är "Active"
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 neka
4 alla tcp 80-tillstånd5
alla tcp 443 tillåt6
alla udp 161 tillåt7
alla udp 123 tillstånd8
alla tcp 600 - 1023 tillåt9
alla udp 600 - 1023 tillstånd
- Öppna Webtools med hjälp av en webbläsare som stöds och försök få åtkomst till Webtools-gränssnittet för switchen som har HTTP avaktiverat, vilket bör nekas.
- I utdata för switchen "errdump" bör du se att switchen har nekat åtkomst med HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Händelse: säkerhetsfel, status: misslyckades, information: Obehörig värd med IP-adressen xx.xx.xx.xx försöker upprätta en anslutning med TCP-port 80.
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Händelse: säkerhetsfel, status: misslyckades, information: Obehörig värd med IP-adressen xx.xx.xx.xx försöker upprätta en anslutning med TCP-port 80.
Här är en lista över alla kommandon som används ovan i användningsordningen:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump
Additional Information
Se Brocade Fabric OS Command Reference Manual för ytterligare information om kommandot ipfilter och dess användning.
Affected Products
Brocade, Connectrix B-SeriesArticle Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version: 4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.