Блокируем telnet доступ на устройствах с Fabric OS.
Доступ по telnet включен на устройствах с Fabric OS всегда "Изкоробки", и нет простой команды для его отключения.
Поэтому пойдём более сложным путём. Зафильтруем его встроенным ip-фильтром. Да-да. В FC-коммутаторах нет команды для отключения телнета, но есть встроенный ip-фильтр. Смиритесь.
Смотрим текущую ситуацию
switch:admin> ipfilter --show
Name: default_ipv4, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: default_ipv6, Type: ipv6, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Создаём свой лист, на основе существующего
switch:admin> ipfilter --clone BlockTelnet -from default_ipv4
Сохраняем его
switch:admin> ipfilter --save BlockTelnet
Добавляем нужное правило (тут главное не впасть в кому от слова sip, это сокращение от source IP)
switch:admin> ipfilter --addrule BlockTelnet -rule 1 -sip any -dp 23 -proto tcp -act deny
Сохраняем и активируем.
switch:admin> ipfilter --save BlockTelnet
switch:admin> ipfilter --activate BlockTelnet
Смотрим работу.
switch:admin> ipfilter --show
Name: default_ipv4, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: default_ipv6, Type: ipv6, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: BlockTelnet, Type: ipv4, State: active (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 23 deny
2 any tcp 22 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Поэтому пойдём более сложным путём. Зафильтруем его встроенным ip-фильтром. Да-да. В FC-коммутаторах нет команды для отключения телнета, но есть встроенный ip-фильтр. Смиритесь.
Смотрим текущую ситуацию
switch:admin> ipfilter --show
Name: default_ipv4, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: default_ipv6, Type: ipv6, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Создаём свой лист, на основе существующего
switch:admin> ipfilter --clone BlockTelnet -from default_ipv4
Сохраняем его
switch:admin> ipfilter --save BlockTelnet
Добавляем нужное правило (тут главное не впасть в кому от слова sip, это сокращение от source IP)
switch:admin> ipfilter --addrule BlockTelnet -rule 1 -sip any -dp 23 -proto tcp -act deny
Сохраняем и активируем.
switch:admin> ipfilter --save BlockTelnet
switch:admin> ipfilter --activate BlockTelnet
Смотрим работу.
switch:admin> ipfilter --show
Name: default_ipv4, Type: ipv4, State: defined
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: default_ipv6, Type: ipv6, State: active
Rule Source IP Protocol Dest Port Action
1 any tcp 22 permit
2 any tcp 23 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit
Name: BlockTelnet, Type: ipv4, State: active (modified)
Rule Source IP Protocol Dest Port Action
1 any tcp 23 deny
2 any tcp 22 permit
3 any tcp 80 permit
4 any tcp 443 permit
5 any udp 161 permit
6 any udp 123 permit
7 any tcp 600 - 1023 permit
8 any udp 600 - 1023 permit