Skip to main content
Sign Out

Welcome to Dell

My Account
  • Place orders quickly and easily
  • View orders and track your shipping status
  • Enjoy members-only rewards and discounts
  • Create and access a list of your products
Sign In Create an Account Dell Financial Services Premier Sign In Partner Program Sign In
Contact Us

Your Dell.com Carts

Connectrix Brocade серии B. Как заблокировать, отключить или отклонить доступ по HTTP/WebTools к коммутатору Brocade

Summary: Чтобы заблокировать, отключить или отклонить доступ по HTTP/WebTools к коммутатору Brocade серии B, используйте команду «IPFilter».

This article applies to This article does not apply to This article is not tied to any specific product. Not all product versions are identified in this article.
Check out other resources

Instructions

Чтобы заблокировать, отключить или отклонить доступ по HTTP/WebTools, по соображениям безопасности необходимо получить доступ к Brocade серии B по протоколу telnet.  

Ниже приведены действия, которые требуется предпринять для создания политики с правилом для отклонения доступа посредством любого IP-адреса с использованием порта HTTP 80.

Примечание. Поскольку политика по умолчанию не может быть изменена, необходимо клонировать любой набор фильтров, который вы хотите использовать. В данном примере используется набор «default_ipv4»).
  1. Выполните вход в коммутатор с помощью SSH или последовательного кабеля.
  2. Создайте политику, скопировав существующую политику «default_ipv4».
ipfilter --clone DenyWebtools -from default_ipv4
  1. Сохраните новую политику.
ipfilter --save DenyWebtools
  1. Убедитесь в правильности новой политики. Вы увидите новую политику.
ipfilter --show
  1. Добавьте правило в новую политику, чтобы отклонить доступ по HTTP.
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny

Эта команда, которая разбивается на подкоманды, выполняет следующие действия.
  • --addrule DenyWebtools. Команда добавляет правило в набор правил «DenyWebtools».
  • -rule 3. Команда добавляет правило с указанным номером индекса правила. Номер правила должен быть от 1 до текущего максимального номера правила плюс один. Можно также задать правило для диапазона портов.
  • -sip any. Команда задает исходный IP-адрес. В данном примере любой IP-адрес, подключающийся к этому коммутатору, блокирует HTTP. 
  • -dp. Команда указывает номер порта, к которому применяется это правило. В данном примере используется номер порта для HTTP 80.
  • -proto. Команда задает тип протокола. В данном примере используется тип протокола TCP.
  • -act deny. Команда указывает действие разрешения или отклонения, связанное с этим правилом.
  1. Найдите правило разрешения для HTTP (80).
ipfilter --show DenyWentools

Output:
Name: DenyWebtools, Type: ipv4, State: defined (modified)
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   
4     any                                            tcp       80     permit   
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Удалите правило разрешения для HTTP. Это необходимо для очистки, так как теперь существует два правила HTTP, как показано выше.
ipfilter --delrule DenyWebtools -rule 4
  1. Сохраните его еще раз.
ipfilter --save DenyWebtools
  1. Проверьте политику еще раз, чтобы убедиться, что она верна.
ipfilter --show DenyWebtools

Output:
Name: DenyWebtools, Type: ipv4, State: defined
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80     deny   <<< New Rule
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Активируйте новую политику.
ipfilter --activate DenyWebtools
  1. Проверьте политику еще раз, чтобы убедиться, что она верна, а политика «DenyWebtools» активна. 
ipfilter --show

Output:
Name: DenyWebtools, Type: ipv4, State: active <<<<<<<<<<<<<<<<<< New Policy is "Active"
Rule    Source IP                               Protocol   Dest Port   Action
1     any                                            tcp       22     permit
2     any                                            tcp       23     permit
3     any                                            tcp       80       deny
4     any                                            tcp       80     permit
5     any                                            tcp      443     permit
6     any                                            udp      161     permit
7     any                                            udp      123     permit
8     any                                            tcp      600 - 1023     permit
9     any                                            udp      600 - 1023     permit
  1. Откройте WebTools с помощью поддерживаемого браузера и попробуйте получить доступ к пользовательскому интерфейсу WebTools для коммутатора, для которого отключен протокол HTTP, который необходимо запретить.
  2. В выходных данных «errdump» коммутатора должно быть видно, что коммутатор отклонил доступ по HTTP.
errdump:
2021/10/06-11:19:28, [SEC-3039], 39764, FID 128, INFO, DS6510B_TT38, Event:Security Violation , Status: failed, Info: Unauthorized host with IP address xx.xx.xx.xx tries to establish connection using TCP port 80.


Ниже приведен список всех команд, представленных выше, в порядке их использования.

ipfilter --clone DenyWebtools -from default_ipv4
ipfilter --save DenyWebtools
ipfilter --show
ipfilter --addrule DenyWebtools -rule 3 -sip any -dp 80 -prot tcp -act deny
ipfilter --delrule DenyWebtools -rule 4
ipfilter --save DenyWebtools
ipfilter --show DenyWebtools
ipfilter --activate DenyWebtools
ipfilter --show
errdump

Additional Information

В справочном руководстве по командам Brocade Fabric OS можно найти дополнительные сведения о команде ipfilter и ее использовании.

Affected Products

Brocade, Connectrix B-Series
Article Properties
Article Number: 000192275
Article Type: How To
Last Modified: 13 Dec 2022
Version:  4
Find answers to your questions from other Dell users
Support Services
Check if your device is covered by Support Services.