一部のDellサーバー(R210、R410、R510)でiDRACとBMCを保護しようとしています。 IPMIコマンドへのアクセスを少数のIPアドレスのみに制限したい。 http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529)の手順を使用して、iDracへのアクセスを正常に制限しました。 ですが、IP制限はIPMIに影響しません。現時点では、ポートが不足しているため、個別の管理ネットワークは実用的ではありません。また、一部のDellBMCは個別のポートを提供していません。ネットワークグループから、スイッチはトランキングをサポートしていないと言われているため、VLANタグを使用することもできません。
許可されたアドレスのリストへのIPMIアクセスを制限する方法はありますか?
参考までに、さまざまな理由から、BMC、iDrac Express、およびiDracエンタープライズ管理機能を備えたDellサーバーを組み合わせています。
更新:私の箱はすべて切り替えられた環境にあります。サーバー間または作業用デスクトップ間でNATが発生していません。ipmitool-Ilanplus-Hmyhost -u root -p password -K solactivate "を使用してシリアルと通信していますIPMIを介したコンソール。
Update2:スイッチ環境にいる間、別の部門によって管理されているネットワークスイッチを変更するためのアクセス権がありません。ネットワーク部門は、ルーターにACLを設定することを好みません。また、ポートでVLANタグを使用することはできません。
環境を切り替えてIPMIへのアクセスを制限する必要がある場合、その方法はコアスイッチでACLポリシーを作成することです。これにより、特定のネットワークからこのサブネットまたはサービスへのアクセスを制限できます。これを行うには、INPUTチェーンのみを使用できます。たとえば、IPMIが192.168.110.0/24 VLAN1にあり、デスクトップが10.0.0.0/24 VLAN2にあり、分離LANが10.0.1.0/24 VLAN3にある場合、ルールを設定できます。以下の例のように。ただし、同じサブネット上で制限する場合は、この方法で制限することはできません。制限されたクライアントは別のLAN(ルーティング可能なIP範囲)上にある必要があります。
つまり、コアスイッチでポリシーをロードして指定することができます
#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit
#Allow Multicast
From Any To 224.0.0.0/4 Permit
#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit
#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit
#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit
#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit
From 0.0.0.0/0 to 0.0.0.0/0 Deny
ps。コアスイッチ(VLAN間のルーター転送)は、この種のACLを確実にサポートします。
これは、スイッチの機能と機能セットに応じて実行可能な場合と実行できない場合がある代替アプローチです。
これを拡張するには、使用しているBMC、IPMI、およびDRACのバージョンに基づいて独自の調査を行う必要があります。
以下は、DRACのポートとプロトコルのリストです。ネットワーク全体を構成して、選択した少数のホスト、さらには要塞ホストのみがこれらにアクセスできるようにします。または、IPSを使用して接続をリセットします。これは、UDPベースのプロトコルでは機能しない可能性があります。
DRAC6
iDRAC6サーバーリスニングポート ポート番号機能 22 * SSH 23 * Telnet 80 * HTTP 443 * HTTPS 623 RMCP/RMCP + 5900 *コンソールリダイレクトキーボード/マウス、仮想メディアサービス、仮想メディアセキュアサービス、コンソールリダイレクトビデオ 構成可能ポート* 表1-4。 iDRAC6クライアントポート ポート番号機能 25SMTP 53 DNS 68DHCP割り当てIPアドレス 69TFTP 162SNMPトラップ 636LDAPS 3269グローバルカタログ(GC)用LDAPS
DRAC5
ポート番号機能 (サーバーポート) 22 *セキュアシェル(SSH) 23 * Telnet 80 * HTTP 161SNMPエージェント 443 * HTTPS 623 RMCP/RMCP + 3668 *仮想メディアサーバー 3669 *仮想メディアセキュアサービス 5900 *コンソールリダイレクトキーボード/マウス 5901 *コンソールリダイレクトビデオ 構成可能ポート* 表1-3。 DRAC5クライアントポート ポート番号機能 25SMTP 53 DNS 68DHCP割り当てIPアドレス 69TFTP 162 SNMPトラップ 636LDAPS 3269グローバルカタログ(GC)用のLDAPS
DRAC 4
接続をリッスンするDRAC4のポート(サーバー)に使用されるDRAC 4ポート番号: 23Telnet(構成可能) 80 HTTP(構成可能) 161SNMPエージェント(構成不可) 443HTTPS(構成可能) 3668仮想メディアサーバー(構成可能) 5869リモートracadmspcmpサーバー(構成不可) 5900コンソールリダイレクト(構成可能) DRAC4がクライアントとして使用するポート: 25SMTP(構成不可) 69TFTP(構成可能) 162SNMPトラップ(構成不可) 53DNS 636 LDAP 3269グローバルカタログ(GC)のLDAP
DRAC 3ポート
ポート番号プロトコルの使用法ポートは構成可能ですか? 7UDP/TCPはPing(エコー)に使用されますいいえ 22SSHセキュアシェルのデフォルトポート番号 23 TelnetTelnetデフォルトポートはい 25SMTP Simple Mail TransferProtocolポートいいえ 53DNSドメインネームサーバー(DNS)デフォルトポートいいえ 68 bootstrap Wake-on-LANデフォルトポートはい 69TFTPトリビアルファイル転送プロトコルポートいいえ 80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC、およびDRAC/MCのデフォルトポートはい 161 SNMP(get/set)Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA /で使用されるSNMPエージェントポートMC、およびDRAC/MCいいえ 162SNMP(トラップ)SNMPトラップリスナーポートいいえ 623 Telnet Baseboard Management Controller(BMC)管理ユーティリティのデフォルトポートはい 636LDAP軽量ディレクトリアクセスプロトコル(LDAP)ポートいいえ 443HTTPS(SSL)DRAC4デフォルトポートはい 1311HTTPS(SSL)Dell OpenManage ServerAdministratorデフォルトポートはい[.__ __。] 2148 ArrayManagerクライアントが接続に使用 2606 Dell OpenManage ITAssistant接続サービスとネットワーク監視サービス間のTCP/IP通信はい 2607 ITAssistantユーザーインターフェイスと接続間のHTTPS通信サービス はい 3269グローバルカタログ(GC)ポートのLDAPLDAPいいえ 3668VMS仮想メディアサーバーはい 4995TCP/IP Dell OpenManageクライアントコネクタ(OMCC)デフォルトポートはい 5869spcmpサーバーリモートracadmspcmpサーバーいいえ 5900VNCプロキシサーバーコンソールリダイレクトDRACIII、DRAC III/XT、ERA、およびERA/Oのデフォルトポートはい5900
使用された参照:
DRAC 6 http://support.Dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm
DRAC 5 http://lists.us.Dell.com/pipermail/linux-poweredge/2006-July/026495.html
DRAC 4 http://support.Dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm
DRAC 3 http://support.Dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm
IDRAC9の場合、Webインターフェイスを使用できます
iDRAC設定>接続>ネットワーク>ネットワーク設定>詳細ネットワーク設定。
IDRAC8を使用する場合
iDRAC設定>ネットワーク>詳細ネットワーク設定。