1.背景描述：

1.1项目情况：

客户想从F5层面把无关ip都给限制了，用黑名单和白名单做一下访问限制，主要是对管理口和self ip 的访问保护。

2.需求配置分析：

访问限制大概有以下几种方法，(分管理口访问限制和业务访问限制)

2.1管理口限制

2.1.1通过GUI界面配置

配置方案：

在System  ››  Platform  ››  Security  下选择add，进行配置，

action为accept时，将客户主机地址填入Source，Destination选择any, Order选择first.

action为drop时，source选择any，Destination选择any, Order选择Last.

如下图所示可实现除了10.149.12.236 都不可以访问管理口。

2.1.2通过修改Httpd限制对管理口的访问

tmsh命令下：modify /sys httpd allow replace-all-with {x.x.x.x}

2.2业务口限制

2.2.1通过iRules实现

如果客户端 IP 地址匹配datagroup list地址，以下示例会在三次 TCP 握手完成后丢弃

when CLIENT_ACCEPTED {

if { [class match [IP::client_addr] eq <datagroup_name>] } {

log local0. "Dropped connection: client IP [IP::client_addr]

is restricted."

drop}

}

配置datagroup   Local Traffic  ››  iRules : Data Group List

配置iRules

2.2.1通过packet filters实现

Packet Filters 数据包过滤 ，数据包过滤会根据指定的标准（例如协议、源和目标 IP 地址以及目标端口）接受或拒绝流量。我们可以通过创建规则来过滤指定的客户端 IP 地址或网络以及目的IP 地址和端口，从而限制对设备的访问。

3.参考文件：（ASK或网页链接）

https://support.f5.com/csp/article/K13309 限制对管理口的访问httpd

https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/tmos-routing-administration-13-1-0/7.html   packet Filters说明 LTM包过滤