将 Dell BMC 和 iDRAC 上的 IPMI 访问限制在允许的 IP 范围内

将 Dell BMC 和 iDRAC 上的 IPMI 访问限制在允许的 IP 范围内

我正在尝试保护我的一些戴尔服务器(R210、R410、R510)上的 iDRAC 和 BMC。我想将对 IPMI 命令的访问限制为仅几个 IP 地址。我已使用以下说明成功限制了对 iDrac 的访问http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529,但 IP 限制不会影响 IPMI。由于缺少端口,单独的管理网络目前并不实用,而且一些 Dell BMC 不提供单独的端口。我的网络小组告诉我,我们的交换机不支持中继,因此使用 VLAN 标记也不是一种选择。

有没有办法将 IPMI 访问限制在允许的地址列表中?

仅供参考,由于各种原因,我混合使用了具有 BMC、iDrac Express 和 iDrac 企业管理功能的戴尔服务器。

更新:我的所有机器都处于交换环境中。我的服务器或工作桌面之间没有 NAT。我使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通过 IPMI 与串行控制台通信。

更新 2:虽然我处于交换环境中,但我无权更改由不同部门管理的网络交换机。网络部门不喜欢在路由器上设置 ACL,并且不能/不会在我们的端口上使用 VLAN 标记。

答案1

如果您有交换机环境,并且需要限制对 IPMI 的访问,那么可以这样做:在核心交换机上制定 ACL 策略,这样您就可以限制从特定网络对此子网或服务的访问。您只能使用 INPUT 链来执行此操作,例如,如果您的 IPMI 位于 192.168.110.0/24 VLAN1 上,而您的桌面位于 10.0.0.0/24 VLAN2 上,隔离 LAN 位于 10.0.1.0/24 VLAN3 上,您可以按照以下示例设置规则。但是,如果您想在同一个子网上进行限制,则无法通过这种方式完成,受限客户端必须位于不同的 LAN(可路由 IP 范围)上。

简单来说,在核心交换机上,你可以加载策略并指定

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

ps. 你的核心交换机(VLAN间转发的路由器)肯定支持这种ACL。

答案2

这是另一种方法,根据您的交换机功能和特性集,它可能可行也可能不可行。

您需要根据您拥有的 BMC、IPMI 和 DRAC 版本进行自己的研究来扩展此功能。

以下是 DRAC 端口和协议的列表。配置整个网络,使其仅供少数主机访问,或者更好的是,堡垒主机,或者使用 IPS 重置连接,IPS 可能不适用于任何基于 UDP 的协议。

DRAC6

iDRAC6 服务器侦听端口
端口号 功能
22* SSH
23* 远程登录
80* HTTP
443* HTTPS
623 RMCP/RMCP+
5900* 控制台重定向键盘/鼠标、虚拟媒体服务、虚拟媒体安全服务、控制台重定向视频
可配置端口*

表 1-4. iDRAC6 客户端端口

端口号 功能
25 SMTP
53 DNS
68 DHCP 分配的 IP 地址
69 TFTP
162 SNMP 陷阱
636 LDAP 服务
3269 LDAPS 用于全局目录 (GC)

DRAC5

端口号 功能
(服务器端口)
22* 安全外壳 (SSH)
23* 远程登录
80* HTTP
161 SNMP 代理
443* HTTPS
623 RMCP/RMCP+
3668* 虚拟媒体服务器
3669* 虚拟媒体安全服务
5900* 控制台重定向键盘/鼠标
5901* 控制台重定向视频

可配置端口*

表 1-3。 DRAC 5 客户端端口
端口号 功能
25 SMTP
53 DNS
68 DHCP 分配的 IP 地址
69 TFTP
162 SNMP 陷阱
636 LDAP 服务
3269 LDAPS 用于全局目录 (GC)

DRAC 4

 
DRAC 4 端口号用于

DRAC 4 上监听连接的端口(服务器):
23 Telnet(可配置)
80 HTTP(可配置)
161 SNMP 代理(不可配置)
443 HTTPS(可配置)
3668 虚拟媒体服务器(可配置)
5869 远程 racadm spcmp 服务器(不可配置)
5900 控制台重定向(可配置)

DRAC 4 作为客户端使用的端口:
25 SMTP(不可配置)
69 TFTP(不可配置)
162 SNMP 陷阱(不可配置)
53 DNS
636 LDAP
3269 LDAP 用于全局目录 (GC)

DRAC 3 端口

端口号 协议使用 端口是否可配置?

7 用于 Ping 的 UDP/TCP(回显) 否
22 SSH 安全外壳默认端口 否
23 Telnet Telnet 默认端口 是
25 SMTP 简单邮件传输协议端口 否
53 DNS 域名服务器 (DNS) 默认端口 无
68 bootstrap LAN 唤醒默认端口 是
69 TFTP 简单文件传输协议端口 否
80 HTTP DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 默认端口 是
161 SNMP(获取/设置)Dell OpenManage Array Manager、DRAC 4、DRAC III、DRAC I11/XT、ERA、ERA/O、ERA/MC 和 DRAC/MC 使用的 SNMP 代理端口 否
162 SNMP(陷阱) SNMP 陷阱侦听器端口 否
623 Telnet 底板管理控制器 (BMC) 管理实用程序默认端口 是
636 LDAP 轻量级目录访问协议 (LDAP) 端口 否
443 HTTPS (SSL) DRAC 4 默认端口 是
1311 HTTPS (SSL) Dell OpenManage Server Administrator 默认端口 是
2148 由 Array Manager 客户端用于连接
2606 TCP/IP Dell OpenManage IT Assistant 连接服务和网络监控服务之间的通信 是
2607 IT Assistant 用户界面和连接服务之间的 HTTPS 通信
是的
3269 LDAP 全局目录 (GC) 端口的 LDAP 否
3668 VMS 虚拟媒体服务器 是
4995 TCP/IP Dell OpenManage Client Connector (OMCC) 默认端口 是
5869 spcmp 服务器 远程 ​​racadm spcmp 服务器 否
5900 VNC 代理服务器 DRAC III、DRAC III/XT、ERA 和 ERA/O 的控制台重定向默认端口 是 5900

参考文献:

DRAC 6http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm

DRAC 5http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html

DRAC 4http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm

DRAC 3http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm

答案3

对于 iDRAC9,您可以使用 Web 界面

iDRAC 设置 > 连接 > 网络 > 网络设置 > 高级网络设置。

对于 iDRAC8 使用

iDRAC 设置 > 网络 > 高级网络设置。

iDRAC9 的 DELL 文档

相关内容