Security

將 Dell BMC 和 iDRAC 上的 IPMI 訪問限制在允許的 IP 範圍內

  • February 19, 2020

我正在嘗試保護我的一些戴爾伺服器(R210、R410、R510)上的 iDRAC 和 BMC。我想將對 IPMI 命令的訪問限制為僅幾個 IP 地址。我已經使用http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529中的說明成功限制了對 iDrac 的訪問,但是 IP限制不影響 IPMI。由於缺少埠,單獨的管理網路目前不實用,而且一些戴爾 BMC 不提供單獨的埠。我的網路小組告訴我,我們的交換機不支持中繼,因此也不能選擇使用 vlan 標記。

有沒有辦法將 IPMI 訪問限制為允許的地址列表?

僅供參考,出於各種原因,我將戴爾伺服器與 BMC、iDrac Express 和 iDrac 企業管理功能混合使用。

更新:我所有的盒子都在一個切換的環境中。我的伺服器或我的工作桌面之間沒有 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通過 IPMI 與串列控制台對話。

更新 2:當我處於交換環境中時,我無權更改由不同部門管理的網路交換機。網路部門不喜歡在路由器上設置 ACL,並且不能/不會在我們的埠上使用 vlan 標記。

如果您已經切換環境並且需要限制對 IPMI 的訪問,則可以在核心交換機上製定 ACL 策略,這樣您就可以限制從特定網路訪問該子網或服務。您只能使用 INPUT 鏈來執行此操作,例如,如果您的 IPMI 在 192.168.110.0/24 VLAN1 上,而您的桌面在 10.0.0.0/24 VLAN2 上,並且在 10.0.1.0/24 VLAN3 上隔離 LAN,您可以設置規則如下例所示。但是,如果你想限制它在同一個子網上,它是不這樣做的,也不能這樣做,受限的客戶端必須在不同的區域網路上(可路由的 ip 範圍)。

很簡單,在核心交換機上,您可以載入策略並指定

#Allow Broadcast
From Any To ff:ff:ff:ff:ff:ff Permit

#Allow Multicast
From Any To 224.0.0.0/4 Permit

#Anti-spoofing rules
From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit
From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit
From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit
From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit
From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit
From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit

#Permit IPMI from VLAN2
#You can narrow this rule to allow IPMI only
From 10.0.0.0/24 to 192.168.110.0/24 Permit
From 192.168.110.0/24 to 10.0.0.0/24 Permit

#Allow VLAN3 to VLAN1
From 10.0.1.0/24 to 10.0.0.0/24 Permit
From 10.0.0.0/24 to 10.0.1.0/24 Permit

#Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0)
From 10.0.0.0/8 to 10.0.0.0/8 Deny
From 192.168.0.0/16 to 192.168.0.0/16 Deny
From 10.0.0.0/8 to 192.168.0.0/16 Deny
From 192.168.0.0/16 to 10.0.0.0/8 Deny

From 10.0.1.0/24 to 0.0.0.0/0 Permit
From 0.0.0.0/0 to 10.0.1.0/24 Permit

From 0.0.0.0/0 to 0.0.0.0/0 Deny

附言。您的核心交換機(VLAN 之間的路由器轉發)肯定支持這種 ACL。

引用自:https://serverfault.com/questions/398754