Integrierte IPMI Firewall von Supermicro X9 Mainboards IPMI nutzen
Supermicro X9 Mainboards mit Full Remote Management bieten eine Zugangsbeschränkung auf die Remote-Management-IP durch eine integrierte Firewall (IP Access Control). Generell empfehlen wir jeden Fernwartungszugang durch eine dedizierte Firewall zu schützen, die hier integrierte Firewall kann aber einen zusätzlichen Schutz bieten.
Inhaltsverzeichnis |
Firewall aktivieren
Die Firewallkonfiguration ist im Webinterface im Menü Configuration -> IP Access Control erreichbar.
Das folgende Beispiel erlaubt den Zugriff auf das Remote Management des Servers ausschließlich vom Management-PC mit der IP 10.0.0.4:
- Aktivierung der Checkbox Enable IP Access Control
- Hinzufügen einer ersten Regel mit der IP Adresse 10.0.0.4 und der Policy ACCEPT
- Hinzufügen einer weiteren Regel mit der IP Adresse 0.0.0.0/0 und der Policy DROP (diese Regel verbietet explizit alle Zugriffe ausgenommen jene, die zuvor mit einer vorhergehenden Regel erlaubt wurden)
Der Screenshot zeigt die abgeschlossene Konfiguration aus dem beschriebenen Beispiel:
Firewallregeln testen
Der folgende Test zeigt die korrekte Funktion der Firewallkonfiguration.
Zugriffstest vom Management-PC mit der IP 10.0.0.4:
user@ubuntu-11-10:~$ ip addr | grep 10.0.0.4
inet 10.0.0.4/24 brd 10.0.0.255 scope global wlan0
user@ubuntu-11-10:~$ ping -c 1 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.
64 bytes from 10.0.0.241: icmp_req=1 ttl=64 time=2.16 ms
--- 10.0.0.241 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.168/2.168/2.168/0.000 ms
user@ubuntu-11-10:~$
Zugriffstest von einem anderen Rechner mit der IP 10.0.0.3:
root@9000080177:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
link/ether 00:25:90:52:d8:35 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
link/ether 00:25:90:52:d8:34 brd ff:ff:ff:ff:ff:ff
inet 10.0.0.3/24 brd 10.0.0.255 scope global eth1
inet6 fe80::225:90ff:fe52:d834/64 scope link
valid_lft forever preferred_lft forever
root@9000080177:~# ping -c 10 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.
--- 10.0.0.241 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 8999ms
root@9000080177:~#
Zugriff nach Aussperrung durch Fehlkonfiguration wieder erlauben
Für den Fall, dass man sich irrtümlich selbst durch die integrierte Firewall aussperrt, muss die IPMI Firmware über das IPMI Flash Utility vom Betriebssystem des betroffenen Servers aus neu eingespielt werden:
- Informationen zum IPMI Flash Utility für Mainboards mit ATEN IPMI Software finden Sie im Artikel IPMI Firmware Update eines Supermicro Mainboards mit ATEN IPMI Software
- Beim Einspielen des Firmware Updates muss man in diesem Fall die Option -r no (No Preserve, reset to factory default settings) wählen. Danach muss die IPMI Konfiguration (IP Adresse, Benutzer, etc.) wieder manuell durchgeführt werden oder eine IPMI Konfigurationsdatei eingespielt werden.
Weitere Informationen
Nuvoton WPCM450R IPMI Chip mit ATEN-Software
Feedback zu diesem Artikel geben