Korzystanie ze zintegrowanego firewalla w IPMI na płytach głównych Supermicro

Z Thomas-Krenn-Wiki
Przejdź do nawigacji Przejdź do wyszukiwania

Płyty główne Supermicro X7/X8/H8/X9/X10/X11 z firmwarem IPMI bazującym na oprogramowaniu ATEN[1][2] oferują w nowszych wersjach firmware'u zintegrowany firewall (IP Access Control), który umożliwia ograniczenie dostępu do adresu IP zdalnego zarządzania systemu.

Uwaga: Generalnie zalecamy ochronę każdego zdalnego dostępu przez dedykowany firewall, zintegrowany firewall stanowi dodatkowy mechanizm ochronny.

Włączenie firewalla

Aktywacja firewalla z interfejsu webowego

Konfiguracja firewalla w interfejsie webowym może zostać przeprowadzona pod punktem menu Configuration -> IP Access Control.

Poniższy przykład pozwala na dostęp do zdalnego zarządzania serwerem wyłącznie z komputera zarządzającego o adresie IP 10.0.0.4:

  1. Wybranie opcji Enable IP Access Control
  2. Dodanie pierwszej reguły dla adresu IP 10.0.0.4 i wybranie Policy ACCEPT
  3. Dodanie kolejnej reguły dla adresu IP 0.0.0.0/0 i wybranie Policy DROP (ta reguła zabrania dostępu z wszystkich adresów IP, poza tymi, dla których dostęp został w powyższych regułach zezwolony)

Poniższy zrzut prezentuje konfigurację z opisanego przykładu:

Konfiguracja reguł w IP Access Control pozwala na dostęp tylko z adresu IP 10.0.0.4.

Aktywacja firewalla za pośrednictwem SMCIPMItool

W przypadku płyt głównych Supermicro z serii X10 konfiguracja może zostać przeprowadzona również za pośrednictwem SMCIPMITool, poza interfejsem webowym:

  • java -jar SMCIPMITool.jar [IP] [USERNAME] [PASSWORD] ipmi oem x10cfg ipCtrl

Dostępne są poniższe komendy: 

Command:ipmi oem x10cfg ipCtrl 
Command(s): 
list                      	 List IP access control 
status <enable/disable>   	 Enable/Disable IP access control 
add <...>                 	 Add IP access control 
edit <...>                	 Edit IP access control 
delete <rule no>          	 Delete IP access control

Poniżej jest przedstawiona przykładowa konfiguracja na płycie głównej X10SLH-F: 

$ java -jar SMCIPMITool.jar 10.1.102.120 ADMIN relation123 ipmi oem x10cfg ipCtrl list
 IP Access Control              |                   On 


Rule No | IP Address/Mask                          | Policy               
------- | ---------------                          | ------               
      1 | 10.1.102.101/255.255.255.255             | Accept               
      2 | 0.0.0.0/0.0.0.0                          | Drop                 
      3 |                                          |                      
      4 |                                          |                      
      5 |                                          |                      
      6 |                                          |                      
      7 |                                          |                      
      8 |                                          |                      
      9 |                                          |                      
     10 |                                          |

Testy firewalla

Poniższe testy przedstawiają funkcjonowanie prawidłowo skonfigurowanego firewalla.

Próba uzyskania dostępu z komputera o adresie IP 10.0.0.4: 

user@ubuntu-11-10:~$ ip addr | grep 10.0.0.4
    inet 10.0.0.4/24 brd 10.0.0.255 scope global wlan0
user@ubuntu-11-10:~$ ping -c 1 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.
64 bytes from 10.0.0.241: icmp_req=1 ttl=64 time=2.16 ms

--- 10.0.0.241 ping statistics ---
1 packets transmitted, 1 received, 0% packet loss, time 0ms
rtt min/avg/max/mdev = 2.168/2.168/2.168/0.000 ms
user@ubuntu-11-10:~$

Próba uzyskania dostępu z innego komputera, z adresem IP 10.0.0.3: 

root@9000080177:~# ip a
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 16436 qdisc noqueue state UNKNOWN 
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
    inet6 ::1/128 scope host 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN qlen 1000
    link/ether 00:25:90:52:d8:35 brd ff:ff:ff:ff:ff:ff
3: eth1: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP qlen 1000
    link/ether 00:25:90:52:d8:34 brd ff:ff:ff:ff:ff:ff
    inet 10.0.0.3/24 brd 10.0.0.255 scope global eth1
    inet6 fe80::225:90ff:fe52:d834/64 scope link 
       valid_lft forever preferred_lft forever
root@9000080177:~# ping -c 10 10.0.0.241
PING 10.0.0.241 (10.0.0.241) 56(84) bytes of data.

--- 10.0.0.241 ping statistics ---
10 packets transmitted, 0 received, 100% packet loss, time 8999ms

root@9000080177:~#

Uzyskanie ponownego dostępu po zablokowaniu samego siebie, przez błędną konfigurację

W przypadku zablokowania samego siebie (swojego adresu IP), poprzez błędną konfigurację, istnieją dwie możliwości przywrócenia ustawień domyślnych i w ten sposób wyłączenie firewalla:

  1. Factory Reset za pośrednictwem aplikacji ipmitool lub ipmicfg:
    • ipmitool raw 0x3c 0x40[3] lub
    • ipmicfg -fd[4]
  2. Factory Reset podczas aktualizacji firmware'u IPMI za pośrednictwem IPMI Flash Utility (z systemu operacyjnego danego serwera):
    • Informacje na temat aplikacji IPMI Flash Utility dla płyt głównych z oprogramowaniem IPMI ATEN znajdują się w artykule Aktualizacja firmware'u modułu IPMI na płycie głównej Supermicro z oprogramowaniem ATEN
    • Podczas aktualizacji firmware'u musi zostać wybrana opcja -r no (No Preserve, reset to factory default settings). Przez co konfiguracja IPMI (adres IP, użytkownicy itd.) musi zostać ponownie przeprowadzona, lub wczytana z pliku konfiguracyjnego IPMI.

Odnośniki

  1. Chip IPMI Nuvoton WPCM450R z oprogramowaniem ATEN
  2. Chip ASPEED AST2400 IPMI z oprogramowaniem ATEN
  3. Do you have a (...) a command set I can send using ipmitool that replicates the reset command? (Supermicro FAQ 15448)
  4. How do you restore the BMC (...) back to the default setting in Linux? (Supermicro FAQ 10237)

Autor: Werner Fischer

Powiązane artykuły

Konfiguracja progów (thresholds) dla sensorów w IPMI
Do artykułu
Przepełnienie bufora libupnp na płytach głównych z chipem IPMI Nuvoton WPCM450R i oprogramowaniem ATEN
Do artykułu
Przywrócenie domyślnego hasła w IPMI
Do artykułu