Jos haluat estää, poistaa käytöstä tai estää HTTP-/Webtools-yhteyden, Telnet-yhteyden Brocade B -sarjaan suojaussyistä.
Näiden ohjeiden avulla luodaan käytäntö, jonka sääntö estää HTTP-porttia 80 käyttävän IP-osoitteen käytön.
Huomautus: Koska oletuskäytäntöä ei voi muuttaa, kloonaa se suodatin, jota haluat käyttää. Tässä esimerkissä käytetään default_ipv4- ja
- Kirjaudu kytkimeen SSH:lla tai sarjakaapelilla.
- Käytännön luominen kopioimalla nykyinen default_ipv4 käytäntö:
ipfilter --clone DenyWebtools -from default_ipv4
- Tallenna uusi käytäntö:
ipfilter --save DenyWebtools
- Varmista, että uusi käytäntö on oikea. Uuden käytännön pitäisi näkyä:
ipfilter --show
- Lisää uuteen käytäntöön sääntö, joka estää HTTP-käytön:
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
Tämä komento, joka on jaettu alikomentojen mukaan, toimii seuraavasti:
- --addrule DenyWebtools: Komento lisää säännön DenyWebtools-sääntösarjaan.
- -sääntö 3: Komento lisää säännön määritetyn säännön indeksinumeroon. Säännön numeron on oltava 1 ja nykyisen sääntönumeron sekä yhden välinen. Voit myös määrittää säännön porttialueelle.
- -sip any: Komento määrittää lähde-IP-osoitteen. Tässä esimerkissä tähän kytkimeen yhdistävä IP-osoite on estetty.
- -dp: Komento määrittää portin numeron, jossa tätä sääntöä käytetään. Tässä esimerkissä HTTP-portti on 80.
- -proto: Komento määrittää protokollatyypin. Tässä esimerkissä protokolla on TCP.
- -act deny: Komento määrittää tähän sääntöön liittyvän lupa- tai eoitustoiminnon.
- Etsi HTTP-lupasääntö (80):
ipfilter --show Deny Eristysoools
Tulos:
nimi: DenyWebtools, tyyppi: ipv4, Tila: määritetty (muokattu)
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 allow3
any tcp 80 deny <<< New Rule4
any tcp 80 permit<<< old rule
5 tcp 443 antaa6
mitään udp 161 -versiota, joka sallii7
minkä tahansa udp 123 -luvan8
tcp 600-1023 -luvalla9
minkä tahansa udp 600-1023 -luvan
- Poista HTTP-protokollan lupasääntö. Tämä koskee puhdistusta, sillä HTTP-sääntöjä on nyt kaksi edellä kuvatulla tavalla:
ipfilter --delrule DenyWebtools -sääntö 4
- Tallenna se uudelleen:
ipfilter --save DenyWebtools
- Tarkista käytäntö uudelleen ja varmista, että se on oikein:
ipfilter --show DenyWebtools
Tulos:
nimi: DenyWebtools, tyyppi: ipv4, tila: määritetty
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny<<< New Rule4
any tcp 80 permit
5 tcp 443 antaa6
mitään udp 161 -versiota, joka sallii7
minkä tahansa udp 123 -luvan8
tcp 600-1023 -luvalla9
minkä tahansa udp 600-1023 -luvan
- Aktivoi uusi käytäntö:
ipfilter --activate DenyWebtools
- Tarkista käytäntö uudelleen ja varmista, että käytäntö DenyWebtools on aktiivinen:
ipfilter --show
Tulos:
nimi: DenyWebtools, type: ipv4, state: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule Source IP Protocol Dest Port Action1
any tcp 22 permit2
any tcp 23 permit3
any tcp 80 deny
4 tcp 80 -protokollaa, mikä
tahansa tcp 443, sallii6
minkä tahansa udp 161 -protokollan ja sallii7
minkä tahansa udp 123 -luvan8
tcp 600–1023
-luvalla9 minkä tahansa udp 600-1023 -luvan
- Avaa Webtools tuetussa selaimessa ja yritä käyttää sen kytkimen Webtools-käyttöliittymää, jossa HTTP on poistettu käytöstä. Se on estettävä.
- Kytkimen errdump-tuloksessa pitäisi näkyä, että kytkin on kieltäytynyt käyttämästä HTTP-protokollaa.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, SNOOP 128, INFO, DS6510B_TT38, Event:Security Violation, Status: failed, Info: Luvaton isäntä, jolla on IP-osoite xx.xx.xx.xx, yrittää muodostaa yhteyden TCP-portin 80 kautta.
Seuraavassa on luettelo kaikista komennoista, joita käytettiin edellä käyttöjärjestyksessä:
ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtoolsipfilter
--showipfilter
--addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act denyipfilter
--delrule DenyWebtools -rule 4ipfilter
--save DenyWebtoolsipfilter
--show DenyWebtoolsipfilter
--activate DenyWebtoolsipfilter
--showerrdump