SSHアクセスを特定のIPアドレスに制限する方法
色の定義
環境
ONTAP 9
概要
アクセスはサービスポリシー(LIFごと、SVMごと)によって決定され、IPアドレスによるSSHへの特定のアクセスを提供する特定のポリシーを適用する方法を示します
手順
- SVMとそのサービスに割り当てられているサービスポリシーを確認します:
::> network interface show -vserver svm1 -fields service-policy, servicesvserver lif service-policy services------- ------------------ ---------------- --------------------------------------------------------svm1 svm1_cifs_nfs_lif1 custom-data-1234 data-core,data-nfs,data-cifs,management-ssh,management- https
::> network interface service-policy show -vserver svm1 -policy custom-data-1234Vserver: svm1Policy Name: custom-data-1234Included Services: data-core, data-nfs, data-cifs, management-ssh,management- httpsService: Allowed Addresses: data-core: 0.0.0.0/0data-nfs: 0.0.0.0/0data-cifs: 0.0.0.0/0management-ssh: 0.0.0.0/0management- https: 0.0.0.0/0- 詳細モードで、適切な SVM および LIF の
management-sshサービスを変更して、必要な IP のみを許可します:
::*> set advancedWarning: These advanced commands are potentially dangerous; use them only when directed to do so by NetApppersonnel.Do you want to continue? {y|n}: y::*> network interface service-policy modify-service -vserver svm1 -policy custom-data-1234 -service management-ssh -allowed-addresses 10.10.10.0/24ヒント:アクセスを少数の単一の IP のみに制限するには、/32 サブネットマスクを使用し、IP をコンマで区切ります:
cluster1::*> network interface service-policy modify-service -vserver svm1 -policy custom-data-1234 -service management-ssh -allowed-addresses 10.10.10.10/32,10.10.10.30/32service-policy変更内容を確認します:
::*> network interface service-policy show -vserver svm1 -policy custom-data-1234Vserver: svm1Policy Name: custom-data-3499Included Services: data-core, data-nfs, data-cifs, management-ssh,management-httpsService: Allowed Addresses: data-core: 0.0.0.0/0data-nfs: 0.0.0.0/0data-cifs: 0.0.0.0/0management-ssh: 10.10.10.0/24management-https: 0.0.0.0/0Is Built-In Policy: falseパートナーノート
partnerNotes_text