我正在尝试保护我的一些戴尔服务器(R210、R410、R510)上的 iDRAC 和 BMC。我想将对 IPMI 命令的访问限制为仅几个 IP 地址。我已使用以下说明成功限制了对 iDrac 的访问http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529,但 IP 限制不会影响 IPMI。由于缺少端口,单独的管理网络目前并不实用,而且一些 Dell BMC 不提供单独的端口。我的网络小组告诉我,我们的交换机不支持中继,因此使用 VLAN 标记也不是一种选择。
有没有办法将 IPMI 访问限制在允许的地址列表中?
仅供参考,由于各种原因,我混合使用了具有 BMC、iDrac Express 和 iDrac 企业管理功能的戴尔服务器。
更新:我的所有机器都处于交换环境中。我的服务器或工作桌面之间没有 NAT。我使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。
更新 2:虽然我处于交换环境中,但我无权更改由不同部门管理的网络交换机。网络部门不喜欢在路由器上设置 ACL,并且不能/不会在我们的端口上使用 VLAN 标记。
答案1
如果您有交换机环境,并且需要限制对 IPMI 的访问,那么可以这样做:在核心交换机上制定 ACL 策略,这样您就可以限制从特定网络对此子网或服务的访问。您只能使用 INPUT 链来执行此操作,例如,如果您的 IPMI 位于 192.168.110.0/24 VLAN1 上,而您的桌面位于 10.0.0.0/24 VLAN2 上,隔离 LAN 位于 10.0.1.0/24 VLAN3 上,您可以按照以下示例设置规则。但是,如果您想在同一个子网上进行限制,则无法通过这种方式完成,受限客户端必须位于不同的 LAN(可路由 IP 范围)上。
简单来说,在核心交换机上,你可以加载策略并指定
#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit
#Allow Multicast
From Any To 224.0.0.0/4 Permit
#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit
#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit
#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit
#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny
From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit
From 0.0.0.0/0 to 0.0.0.0/0 Deny
ps. 你的核心交换机(VLAN间转发的路由器)肯定支持这种ACL。
答案2
这是另一种方法,根据您的交换机功能和特性集,它可能可行也可能不可行。
您需要根据您拥有的 BMC、IPMI 和 DRAC 版本进行自己的研究来扩展此功能。
以下是 DRAC 端口和协议的列表。配置整个网络,使其仅供少数主机访问,或者更好的是,堡垒主机,或者使用 IPS 重置连接,IPS 可能不适用于任何基于 UDP 的协议。
DRAC6
iDRAC6 服务器侦听端口 端口号 功能 22* SSH 23* 远程登录 80* HTTP 443* HTTPS 623 RMCP/RMCP+ 5900* 控制台重定向键盘/鼠标、虚拟媒体服务、虚拟媒体安全服务、控制台重定向视频 可配置端口* 表 1-4. iDRAC6 客户端端口 端口号 功能 25 SMTP 53 DNS 68 DHCP 分配的 IP 地址 69 TFTP 162 SNMP 陷阱 636 LDAP 服务 3269 LDAPS 用于全局目录 (GC)
DRAC5
端口号 功能 (服务器端口) 22* 安全外壳 (SSH) 23* 远程登录 80* HTTP 161 SNMP 代理 443* HTTPS 623 RMCP/RMCP+ 3668* 虚拟媒体服务器 3669* 虚拟媒体安全服务 5900* 控制台重定向键盘/鼠标 5901* 控制台重定向视频 可配置端口* 表 1-3。 DRAC 5 客户端端口 端口号 功能 25 SMTP 53 DNS 68 DHCP 分配的 IP 地址 69 TFTP 162 SNMP 陷阱 636 LDAP 服务 3269 LDAPS 用于全局目录 (GC)
DRAC 4
DRAC 4 端口号用于 DRAC 4 上监听连接的端口(服务器): 23 Telnet(可配置) 80 HTTP(可配置) 161 SNMP 代理(不可配置) 443 HTTPS(可配置) 3668 虚拟媒体服务器(可配置) 5869 远程 racadm spcmp 服务器(不可配置) 5900 控制台重定向(可配置) DRAC 4 作为客户端使用的端口: 25 SMTP(不可配置) 69 TFTP(不可配置) 162 SNMP 陷阱(不可配置) 53 DNS 636 LDAP 3269 LDAP 用于全局目录 (GC)
DRAC 3 端口
端口号 协议使用 端口是否可配置? 7 用于 Ping 的 UDP/TCP(回显) 否 22 SSH 安全外壳默认端口 否 23 Telnet Telnet 默认端口 是 25 SMTP 简单邮件传输协议端口 否 53 DNS 域名服务器 (DNS) 默认端口 无 68 bootstrap LAN 唤醒默认端口 是 69 TFTP 简单文件传输协议端口 否 80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 默认端口 是 161 SNMP(获取/设置)Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 使用的 SNMP 代理端口 否 162 SNMP(陷阱) SNMP 陷阱侦听器端口 否 623 Telnet 底板管理控制器 (BMC) 管理实用程序默认端口 是 636 LDAP 轻量级目录访问协议 (LDAP) 端口 否 443 HTTPS (SSL) DRAC 4 默认端口 是 1311 HTTPS (SSL) Dell OpenManage Server Administrator 默认端口 是 2148 由 Array Manager 客户端用于连接 2606 TCP/IP Dell OpenManage IT Assistant 连接服务和网络监控服务之间的通信 是 2607 IT Assistant 用户界面和连接服务之间的 HTTPS 通信 是的 3269 LDAP 全局目录 (GC) 端口的 LDAP 否 3668 VMS 虚拟媒体服务器 是 4995 TCP/IP Dell OpenManage Client Connector (OMCC) 默认端口 是 5869 spcmp 服务器 远程 racadm spcmp 服务器 否 5900 VNC 代理服务器 DRAC III、DRAC III/XT、ERA 和 ERA/O 的控制台重定向默认端口 是 5900
参考文献:
DRAC 6http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm
DRAC 5http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html
DRAC 4http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm
DRAC 3http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm
答案3
对于 iDRAC9,您可以使用 Web 界面
iDRAC 设置 > 连接 > 网络 > 网络设置 > 高级网络设置。
对于 iDRAC8 使用
iDRAC 设置 > 网络 > 高级网络设置。