F5 Big IP如何设置web和SSH登录的白名单

F5 Big IP如何设置web和SSH登录的白名单

1 白名单是啥？

只有白名单中的Ip地址才能登录 F5

2 WEB相关的配置

2.1 查看当前的白名单

SSH登录到F5上

root@F5_A:Active:Standalone config # tmsh list sys httpd

sys httpd {

allow { 10.199.1.0/24 10.199.2.100 }

auth-pam-idle-timeout 3600

description "RequestHeader set connection close"

include "RequestHeader set connection close"

}

root@F5_A:Active:Standalone config #

2.2 修改当前的白名单

添加1个网段或IP

比如要增加1个IP 10.248.5.200

root@(F5_A)(cfg-sync Standalone)(Active)(/Common)# tmsh
root@(F5_A)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow add {10.248.5.200} 

如果要删除其中的1个IP或网段，使用delete

root@(F5_A)(cfg-sync Standalone)(Active)(/Common)# tmsh
root@(F5_A)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys httpd allow delete {10.248.5.200} 

---

移除所有的白名单

tmsh modify sys sshd allow none

使用新的IP替换当前所有的

modify sys sshd allow replace-all-with { 10.248.99.0/24}

3 SSH相关的配置

命令和上面的WEB一样，只是将httpd 改为sshd

2.1 查看当前的白名单

SSH登录到F5上

[root@F5_A] config # tmsh list sys sshd
sys sshd {
    allow { 10.248.1.1   10.248.2.0/24 }

2.2 修改当前的白名单

添加1个网段或IP

比如要增加1个IP 10.248.5.200

root@(F5_A)(cfg-sync Standalone)(Active)(/Common)# tmsh
root@(F5_A)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys sshd allow add {10.248.5.200} 

如果要删除其中的1个IP或网段，使用delete

root@(F5_A)(cfg-sync Standalone)(Active)(/Common)# tmsh
root@(F5_A)(cfg-sync Standalone)(Active)(/Common)(tmos)# modify sys sshd  allow delete {10.248.5.200} 

---

移除所有的白名单

tmsh modify sys sshd allow none 

---

使用新的IP替换当前所有的

 modify sys sshd allow replace-all-with { 10.248.99.0/24}