tech note

インフラ技術や車についてつぶやいていくブログ

F5

BIG-IP CLIでSSHアクセス制限する方法

*コマンド SSHアクセス制限はGUI、CLIいずれからも可能です。 ここではCLIでの操作例を記載しています。 root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys sshd allow sys sshd { allow { ALL } } root@(bigip)(cfg-sync Standalone)(Ac…

BIG-IP HTTPアクセス制限する方法

*コマンド HTTPアクセス制限はCLIからのみ実施可能です。 BIG-IPへHTTPアクセス制限する一連の操作です。 root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow sys httpd { allow { All } } root@(bigip)(cfg-sync Standalone)…

BIG-IP iRule 指定時間にSorryサーバへリダイレクトするサンプル

毎日1~7時の間にSorryサーバーへリダイレクトするサンプルです when HTTP_REQUEST { set Now [clock format [clock seconds] -format %H] if {$Now >= 1 and $Now <= 7 }{ HTTP::redirect "http://sorry/xxxx/index.html" } }

BIG-IP CLIでUCSを作成する方法

GUIより早く作業できます。 # tmsh save sys ucs ucs_name

BIG-IP iRule HTTP::respond によるリダイレクトHTTPヘッダー例

iRule記述とその結果 HTTP::respond 403 noserver Server Apache when HTTP_REQUEST { HTTP::respond 403 noserver Server Apache } -- HTTP/1.0 403 Forbidden Server: Apache Connection: Keep-Alive Content-Length: 0 HTTP::respond 403 noserver when H…

BIG-IPでTRAPをテスト送信する方法

BIG-IPはsyslogのメッセージを基にTRAP送信有無を判断しています。 そのため、Failover等に出力されるログを擬似的にsyslogへ出力してあげればTRAPをテスト送信可能です。 syslog出力にはloggerコマンドを使用します。 TRAPテスト送信コマンド PoolMemberDow…

BIG-IPでSourceIPを用いてACLするiRule

ACLの書き方 VirtualServer宛通信でACLを掛ける際は、iRule+DataGroupListを用います。 iRule when CLIENT_ACCEPTED { if { [class match [IP::client_addr] equals home_net] }{ return } else { drop } } Data Group List ltm data-group internal home_ne…

BIG-IP RSTパケットをログ出力する

コマンド 以下コマンドでRSTパケット送出をログ「/var/log/ltm」出力できます modify /sys db tm.rstcause.log value enable modify /sys db tm.rstcause.pkt value enable

BIG-IP APIにてDataGroupを編集する方法

192.168.0.1,192.168.0.2をClass_hogeへ挿入 curl -ksu "$user":"$pass" "https://1.1.1.1/mgmt/tm/ltm/data-group/internal/~Common~Class_hoge" -H "Content-Type: application/json" -X PUT -d "{ \"records\" : [{\"name\": \"192.168.0.1\", \"data\": …

BIG-IP 管理GUIのサーバ証明書更新手順

目次 目次 サーバ証明書とKey更新 以下ファイルを上書き更新します サーバ証明書 Key 「httpd」のリスタート 中間証明書 下記へ中間証明書をアップロード ファイル権限変更 下記コマンドで、GUI管理画面で中間証明書を設定 「httpd」のリスタート 設定保存 …

BIG-IPで「notice pendsect[12897]: pendsect: /dev/sda no Pending Sectors detected」ログ出力

対象ログ notice pendsect[12897]: pendsect: /dev/sda no Pending Sectors detected 対策 不要 不良セクタの定期的なチェックにてエラーの検出がなかったか、又は修正された事をしめすhttps://support.f5.com/csp/article/K14426

BIG-IP rest apiでConfigSync

REST APIでConfig Sync実行 user=admin pass=pass curl -ksu "$user":"$pass" "https://192.0.2.1/mgmt/tm/cm/config-sync" -X POST -d '{"command":"run","utilCmdArgs":"to-group device-group-1"}' -H "Content-Type: application/json" | jq※デバイスグ…

BIG-IP 階層構造の設定を流し込みする方法

流し込みコマンド こんな感じでBIG-IPの階層構造の設定を流し込みできます (tmos)# load sys config merge from-terminal [verify]をつけると反映せずに確認 Enter configuration. Press CTRL-D to submit or CTRL-C to cancel. ~階層構造のConfigをペース…

BIG-IPのCookiePersistenceをIP変換するPerlスクリプトを作ってみました

こんな変換をしてくれます。 Perlスクリプト こんな変換をしてくれます。 IPv4 -> IPv4_Cookie 10.1.1.100:8080 -> 1677787402.36895.0000 IPv4_Cookie -> IPv4 1677787402.36895.0000 -> 10.1.1.100:8080 IPv4_RouteDomain -> IPv4_RouteDomain_Cookie 192.…