web-dev-qa-db-ja.com

パブリックIPを使用せずにILO / IPMI管理ポートを非表示にする最良の方法

サーバーが5つあり、それぞれに1つのインターネットポートと1つのipmiポートがあるため、10個の外部IPを使用しています。より多くのIPを取得するプロバイダーには少し問題があります。また、サーバーを悪用できるバグが存在する場合があるため、IPMIポートを非表示にします。

これは機能しますか?

  1. 10個のポートすべてが1つのスイッチに接続されます(管理対象外)。
  2. インターネットポートは今日と同じIPを持ちます
  3. IPMIポートにはローカルIP(10.0.0.1、10.0.0.2など)があります
  4. iPMIに接続する必要がある場合は、次のように機能しているサーバーのいずれかからSSHトンネルを作成します。ssh-L::したがって、一時的にIPMIに接続できます...

これは機能しますか? 「ダム」スイッチに2つのネットワークを設定できますか?私はsupermicroサーバーを使用しています。正しく機能するために必要なポートが1つだけかどうか誰かが知っていますか?

編集:私はVPNソリューションについて知っていますが、追加のハードウェアを必要としない何かを探しています(それは壊れることがあり、IPMIアクセスがまったくありません)。 sshトンネルはここでも提案されています: iLOはWANにハングアップするのに十分安全ですか

提案したソリューションが機能するかどうかを知る必要があります。ありがとうございました

2
noescape

また、堅牢なファイアウォールアプライアンスを入手して、インターネットからVPNエンドポイントとして使用することをお勧めします。これにより、ILOアクセスは、ILOが実際に使用する特定のサーバーから独立し、悪意のあるインターネットユーザーからの必要な保護も提供されます。

3
binaryanomaly

iPMIに接続する必要がある場合は、次のようなSSHトンネルを作成します。

これが機能することを確認できる場合のみ-つまり、ほぼすべてのサーバーでこの可能性がある必要があります。 SSHトンネルを終了するサーバーがダウンすると、IPMIがダウンするためです;)

私は個人的にそこにスイッチを置くことはしませんが、スイッチチップを備えた小さなルーター(Mikrotik);)次にそのルーターを使用してVPNを終了します。

2
TomTom