Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Connectrix Brocade série B : comment puis-je bloquer, désactiver ou refuser l’accès HTTP/Webtools à un commutateur Brocade ?

Summary: Pour bloquer, désactiver ou refuser l’accès HTTP/Webtools à un commutateur Brocade B-Series, utilisez la commande IPFilter.

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Pour bloquer, désactiver ou refuser l’accès HTTP/Webtools et Telnet à un Brocade B-Series pour des raisons de sécurité.  

Voici les étapes utilisées pour créer une stratégie avec une règle refusant l’accès par une adresse IP à l’aide du port HTTP 80.

Remarque : Étant donné que la stratégie par défaut ne peut pas être modifiée, vous devez cloner le jeu de filtres que vous souhaitez utiliser. Dans cet exemple, nous utilisons l’ensemble « default_ipv4 » :
  1. Connectez-vous au commutateur à l’aide du protocole SSH ou à l’aide d’un câble série.
  2. Créez une stratégie en copiant la stratégie default_ipv4 existante :
ipfilter --clone DenyWebtools -from default_ipv4
  1. Enregistrez la nouvelle stratégie :
ipfilter --save DenyWebtools
  1. Vérifiez que la nouvelle stratégie est correcte. Vous devriez voir la nouvelle stratégie :
ipfilter --show
  1. Ajoutez une règle à la nouvelle stratégie pour refuser l’accès HTTP :
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny

Cette commande, qui est divisée en sous-commandes, effectue les opérations suivantes :
  • --addrule DenyWebtools : La commande ajoute la règle au jeu de règles DenyWebtools.
  • -rule 3 : La commande ajoute une règle au numéro d’index de la règle spécifiée. Le numéro de règle doit être compris entre 1 et le nombre maximal actuel de règles plus un. Vous pouvez également définir une règle pour une gamme de ports.
  • -sip any : La commande spécifie l’adresse IP source. Dans cet exemple, toutes les adresses IP se connectant à ce commutateur sont bloquées par HTTP. 
  • -dp : La commande spécifie le numéro de port auquel nous appliquons cette règle. Dans cet exemple, le port pour HTTP est 80.
  • -proto : La commande spécifie le type de protocole. Dans cet exemple, le protocole est TCP.
  • -act deny : La commande spécifie l’action d’autorisation ou de refus associée à cette règle.
  1. Recherchez la règle d’autorisation pour HTTP (80) :
ipfilter --show DenyWentools

Sortie :
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   
4     any                                            tcp       80     permit   
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Supprimez la règle d’autorisation pour HTTP. Cette étape est un nettoyage, car il existe désormais deux règles HTTP, comme indiqué ci-dessus :
ipfilter --delrule DenyWebtools -rule 4
  1. Enregistrez-la à nouveau :
ipfilter --save DenyWebtools
  1. Vérifiez à nouveau la règle pour qu’elle soit correcte :
ipfilter --show DenyWebtools

Sortie :
Name: DenyWebtools, Type: ipv4, State: defined
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   <<< Nouvelle règle
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Activez la nouvelle stratégie :
ipfilter --activate DenyWebtools
  1. Vérifiez à nouveau la règle pour qu’elle soit correcte, pour que la règle « DenyWebtools » soit Active : 
ipfilter --show

Sortie :
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80       deny
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Ouvrez Webtools à l’aide d’un navigateur pris en charge et essayez d’accéder à l’interface utilisateur Webtools pour le commutateur sur lequel HTTP est désactivé, ce qui devrait être refusé.
  2. Dans la sortie « errdump » du commutateur, vous devriez voir que le commutateur a rejeté l’accès à l’aide de HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.


Voici une liste de toutes les commandes utilisées ci-dessus dans l’ordre d’utilisation :

ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump

Additional Information

Reportez-vous à la section Manuel de référence des commandes de Brocade Fabric OS (en anglais) pour plus d’informations sur la commande ipfilter et son utilisation.

Affected Products

Brocade, Connectrix B-Series
Article Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.