пятница, 19 февраля 2016 г.

Brocade FOS: Блокирование доступа по telnet

В сравнении с Брокейдом (Brocade), Cisco просто образец понятности, логики и простоты. :)

Рассмотрим простую задачу.

Вам нужно, в целях безопасности (А, надо отметить, сам Brocade имеет очень навороченные возможности по настройкам безопасности собственно оптического трафика), отключить доступ к порту управления с использованием telnet. Мы ж в 2016м году, как-никак.

Вы думаете, что, раз внутри Linux, вы просто отключаете сервис телнет, как в Солярисе, и телемаркет?

Как бы не так!

То, что вы подумали, было в версиях FOS до 5.2. После 5.2 у вас есть единственная возможность зарезать телнет. Заблокировать его посредством iptables. Да, под файром у вас останется работающий сервис - превед, XMas Tree!

Однако оставим это на совести Брокейда.

Нам надо любым способом вырубить телнет.

Итак, как мы это делаем?

Всегда правой:

 # Possible by firewall only  
 # (FOS above 5.2.x)  
 ipfilter --clone BlockTelnet -from default_ipv4   
 ipfilter --clone BlockTelnetipv6 -from default_ipv6  
   
 ipfilter --clone BlockTelnet -from default_ipv4  
 ipfilter --clone BlockTelnetipv6 -from default_ipv6  
 ipfilter -–delrule BlockTelnet -rule 2  
 ipfilter -–delrule BlockTelnetipv6 -rule 2  
 ipfilter -–addrule BlockTelnet -rule 2 -sip any -dp 23 -proto tcp -act deny  
 ipfilter -–addrule BlockTelnetipv6 -rule 2 -sip any -dp 23 -proto tcp -act deny  
   
 ipfilter --save BlockTelnet  
 ipfilter --save BlockTelnetipv6  
   
 ipfilter --activate BlockTelnet  
 ipfilter --activate BlockTelnetipv6  

Команды выполняются на свиче от имени пользователя admin.

PS. Таков Linux. То, что, казалось бы, можно сделать парой команд - надо выполнить обязательно играя на скрипке во время танца вприсядку со спущенными штанами, при этом скрипку надо держать двумя руками за спиной. :)))))) Зато самобытно и оригинально.  Привет, RMS! Троллейбус из буханки - это пипец как круто!