tech note

インフラ技術や車についてつぶやいていくブログ

BIG-IP HTTPアクセス制限する方法

f:id:tea_cat:20180913011754p:plain*コマンド
HTTPアクセス制限はCLIからのみ実施可能です。
BIG-IPへHTTPアクセス制限する一連の操作です。

root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow
sys httpd {
    allow { All }
}
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow add { 10.0.0.0/255.0.0.0 }
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow
sys httpd {
    allow { All 10.0.0.0/255.0.0.0 }
}
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow delete { All }
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow
sys httpd {
    allow { 10.0.0.0/255.0.0.0 }
}
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow none
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow
sys httpd {
    allow none
}
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow add { All }
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)# list sys httpd allow
sys httpd {
    allow { All }
}
root@(bigip)(cfg-sync Standalone)(Active)(/Common)(tmos)#

ConfigSave

(tmos)# save sys config

注意点

ConfigSync対象です。
複数纏めて設定する際は、スペース区切りで並べます。
NetworkのPrefixは、Netmaskで記載します。

参考

K13309: Restricting access to the Configuration utility by source IP address (11.x - 13.x)
https://support.f5.com/csp/article/K13309