將 Dell BMC 和 iDRAC 上的 IPMI 訪問限制在允許的 IP 範圍內
我正在嘗試保護我的一些戴爾伺服器(R210、R410、R510)上的 iDRAC 和 BMC。我想將對 IPMI 命令的訪問限制為僅幾個 IP 地址。我已經使用http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac10mono/en/ug/html/racugc2d.htm#wp1181529中的說明成功限制了對 iDrac 的訪問,但是 IP限制不影響 IPMI。由於缺少埠,單獨的管理網路目前不實用,而且一些戴爾 BMC 不提供單獨的埠。我的網路小組告訴我,我們的交換機不支持中繼,因此也不能選擇使用 vlan 標記。
有沒有辦法將 IPMI 訪問限制為允許的地址列表?
僅供參考,出於各種原因,我將戴爾伺服器與 BMC、iDrac Express 和 iDrac 企業管理功能混合使用。
更新:我所有的盒子都在一個切換的環境中。我的伺服器或我的工作桌面之間沒有 NAT。我正在使用 ipmitool -I lanplus -H myhost -u root -p password -K sol activate" 通過 IPMI 與串列控制台對話。
更新 2:當我處於交換環境中時,我無權更改由不同部門管理的網路交換機。網路部門不喜歡在路由器上設置 ACL,並且不能/不會在我們的埠上使用 vlan 標記。
如果您已經切換環境並且需要限制對 IPMI 的訪問,則可以在核心交換機上製定 ACL 策略,這樣您就可以限制從特定網路訪問該子網或服務。您只能使用 INPUT 鏈來執行此操作,例如,如果您的 IPMI 在 192.168.110.0/24 VLAN1 上,而您的桌面在 10.0.0.0/24 VLAN2 上,並且在 10.0.1.0/24 VLAN3 上隔離 LAN,您可以設置規則如下例所示。但是,如果你想限制它在同一個子網上,它是不這樣做的,也不能這樣做,受限的客戶端必須在不同的區域網路上(可路由的 ip 範圍)。
很簡單,在核心交換機上,您可以載入策略並指定
#Allow Broadcast From Any To ff:ff:ff:ff:ff:ff Permit #Allow Multicast From Any To 224.0.0.0/4 Permit #Anti-spoofing rules From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit #Permit IPMI from VLAN2 #You can narrow this rule to allow IPMI only From 10.0.0.0/24 to 192.168.110.0/24 Permit From 192.168.110.0/24 to 10.0.0.0/24 Permit #Allow VLAN3 to VLAN1 From 10.0.1.0/24 to 10.0.0.0/24 Permit From 10.0.0.0/24 to 10.0.1.0/24 Permit #Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0) From 10.0.0.0/8 to 10.0.0.0/8 Deny From 192.168.0.0/16 to 192.168.0.0/16 Deny From 10.0.0.0/8 to 192.168.0.0/16 Deny From 192.168.0.0/16 to 10.0.0.0/8 Deny From 10.0.1.0/24 to 0.0.0.0/0 Permit From 0.0.0.0/0 to 10.0.1.0/24 Permit From 0.0.0.0/0 to 0.0.0.0/0 Deny
附言。您的核心交換機(VLAN 之間的路由器轉發)肯定支持這種 ACL。