Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Connectrix Série B Brocade: como posso bloquear, desativar ou negar acesso HTTP/Webtools a um switch Brocade

Summary: Para bloquear, desativar ou negar acesso HTTP/Webtools a um Brocade série B, use o comando IPFilter.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Para bloquear, desativar ou negar acesso HTTP/Webtools e acesso Telnet a um Brocade série B, por motivos de segurança.  

Veja abaixo as etapas usadas para criar uma política com uma regra que negue acesso por qualquer IP usando HTTP porta 80.

Nota: Como não é possível alterar a política padrão, você precisará clonar o conjunto de filtros que quiser usar. Neste exemplo, estamos usando o conjunto "default_ipv4"):
  1. Faça log-in no switch usando SSH ou o cabo serial.
  2. Crie uma política, copiando a política de default_ipv4 existente:
ipfilter --clone DenyWebtools -from default_ipv4
  1. Salve a nova política:
ipfilter --save DenyWebtools
  1. Verifique se a nova política está correta. A nova política deverá ser exibida:
ipfilter --show
  1. Adicione uma regra à nova política para negar acesso HTTP:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny

Esse comando, discriminado abaixo por subcomandos, faça o seguinte:
  • --addrule DenyWebtools: comando que adiciona a regra ao conjunto de regras DenyWebtools.
  • -rule 3: comando que adiciona uma regra ao número de índice da regra especificado. O número da regra deve estar entre 1 e o atual número máximo de regra, mais um. Você também pode definir uma regra para um intervalo de portas.
  • -sip any: comando que especifica o endereço IP de origem. Neste exemplo, qualquer IP que se conecte a esse switch terá HTTP bloqueado. 
  • -dp: comando que especifica o número da porta ao qual esta regra será aplicada. Neste exemplo, a porta para HTTP é 80.
  • -proto: comando que especifica o tipo de protocolo. Neste exemplo, o protocolo é TCP.
  • -act deny: comando que especifica a ação de permissão ou negação associada à regra.
  1. Localize a regra de permissão correspondente a HTTP (80):
ipfilter --show DenyWentools

O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: defined (modified)
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   
4     any                                            tcp       80     permit   
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Remova a regra de permissão correspondente a HTTP. Essa remoção é feita para fins de limpeza, pois agora haverá duas regras para HTTP, conforme mostrado acima:
ipfilter --delrule DenyWebtools -rule 4
  1. Salve-a novamente:
ipfilter --save DenyWebtools
  1. Verifique a política novamente para conferir se ela está correta:
ipfilter --show DenyWebtools

O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: defined
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   <<< Regra antiga
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Ative a nova política:
ipfilter --activate DenyWebtools
  1. Verifique a política novamente para conferir se ela está correta e que a política "DenyWebtools" está ativa: 
ipfilter --show

O que será gerado:
Nome: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80       deny
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Abra o Wentools usando um navegador compatível e tente acessar a interface do usuário do Webtools referente ao switch com HTTP desativado e que deva ser negado.
  2. No resultado gerado para "errdump" do switch, deverá ser possível ver que o switch recusou o acesso usando HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.


Esta é uma lista de todos os comandos usados acima, na ordem de uso:

ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump

Additional Information

Consulte o Manual de referência do comando Brocade Fabric OS para obter informações adicionais sobre o comando ipfilter e seu uso.

Affected Products

Brocade, Connectrix B-Series
Article Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.