将Dell BMC和iDRAC上的IPMI访问限制在允许的IP范围内

如果您已经切换了环境，并且您需要限制对IPMI的访问，则方法是在核心交换机上制定ACL策略，这样可以限制从特定networking访问此子网或服务的权限。 例如，如果您的IPMI位于192.168.110.0/24 VLAN1且您的桌面位于10.0.0.0/24 VLAN2和位于10.0.1.0/24 VLAN3的隔离LAN上，则只能使用INPUT链来执行此操作，则可以设置规则如下面的例子。 但是，如果要将其限制在同一个子网上，则不能这样做，因为受限的客户端必须位于不同的LAN（可路由的IP范围）上。

所以简单地说，在核心交换机上你可以加载策略并指定

#Allow Broadcast From Any To ff:ff:ff:ff:ff:ff Permit #Allow Multicast From Any To 224.0.0.0/4 Permit #Anti-spoofing rules From 192.168.110.0/24 to 0.0.0.0/0 VLAN1 Permit From 0.0.0.0/0 to 192.168.110.0/24 VLAN1 Permit From 10.0.0.0/24 to 0.0.0.0/0 VLAN2 Permit From 0.0.0.0/0 to 10.0.0.0/24 VLAN2 Permit From 10.0.1.0/24 to 0.0.0.0/0 VLAN3 Permit From 0.0.0.0/0 to 10.0.1.0/24 VLAN3 Permit #Permit IPMI from VLAN2 #You can narrow this rule to allow IPMI only From 10.0.0.0/24 to 192.168.110.0/24 Permit From 192.168.110.0/24 to 10.0.0.0/24 Permit #Allow VLAN3 to VLAN1 From 10.0.1.0/24 to 10.0.0.0/24 Permit From 10.0.0.0/24 to 10.0.1.0/24 Permit #Block any other VLAN to VLAN communication, and allow internet browsing for VLAN3 (destination 0.0.0.0/0) From 10.0.0.0/8 to 10.0.0.0/8 Deny From 192.168.0.0/16 to 192.168.0.0/16 Deny From 10.0.0.0/8 to 192.168.0.0/16 Deny From 192.168.0.0/16 to 10.0.0.0/8 Deny From 10.0.1.0/24 to 0.0.0.0/0 Permit From 0.0.0.0/0 to 10.0.1.0/24 Permit From 0.0.0.0/0 to 0.0.0.0/0 Deny 

PS。 您的核心交换机（VLAN之间的路由器转发）肯定支持这种ACL。

这是另一种方法，根据您的交换机function和function设置，这可能也可能不可行。

您需要根据您拥有的BMC，IPMI和DRAC版本进行自己的研究以扩展此function。

以下是DRAC的端口和协议列表。 configuration您的整个networking，只让这些主机可以访问这些主机，或者更好的是使用堡垒主机，或者使用IPS来重置连接，这对于任何基于UDP协议来说都不起作用。

DRAC6

 iDRAC6服务器侦听端口 
端口号function
 22 * SSH
 23 * Telnet
 80 * HTTP
 443 * HTTPS
 623 RMCP / RMCP +
 5900 *控制台redirect键盘/鼠标，虚拟媒体服务，虚拟媒体安全服务，控制台redirectvideo
可configuration的端口*

表1-4。  iDRAC6客户端端口 

端口号function
 25 SMTP
 53 DNS
 68 DHCP分配的IP地址
 69 TFTP
 162 SNMP陷阱
 636 LDAPS
全球目录（GC）的3269 LDAPS 

DRAC5

端口号function
 （服务器端口）
 22 *安全shell（SSH）
 23 * Telnet
 80 * HTTP
 161 SNMP代理
 443 * HTTPS
 623 RMCP / RMCP +
 3668 *虚拟媒体服务器
 3669 *虚拟媒体安全服务
 5900 *控制台redirect键盘/鼠标
 5901 *控制台redirectvideo

可configuration的端口*

表1-3。  DRAC 5客户端端口
端口号function
 25 SMTP
 53 DNS
 68 DHCP分配的IP地址
 69 TFTP
 162 SNMP陷阱
 636 LDAPS
全球目录（GC）的3269 LDAPS

DRAC 4

 
 DRAC 4端口号用于 

 DRAC 4上的端口正在侦听连接（服务器）：
 23 Telnet（可configuration）
 80 HTTP（可configuration）
 161 SNMP代理（不可configuration）
 443 HTTPS（可configuration）
 3668虚拟媒体服务器（可configuration）
 5869远程racadm spcmp服务器（不可configuration）
 5900控制台redirect（可configuration）

 DRAC 4用作客户端的端口：
 25 SMTP（不可configuration）
 69 TFTP（不可configuration）
 162 SNMP陷阱（不可configuration）
 53 DNS
 636 LDAP
 3269全局编录的LDAP（GC）

DRAC 3端口

端口号协议使用是否可configuration端口？

 7 UDP / TCP用于Ping（回声）No
 22 SSH安全Shell默认端口号
 23 Telnet Telnet默认端口是
 25 SMTP简单邮件传输协议端口号
 53 DNS域名服务器（DNS）默认端口号
 68自举唤醒LAN默认端口是
 69 TFTP普通文件传输协议端口号 
 80 HTTP DRAC 4，DRAC III，DRAC I11 / XT，ERA，ERA / O，ERA / MC和DRAC / MC默认端口是
 SNMP（获取/设置）Dell OpenManagearrayspipe理器，DRAC 4，DRAC III，DRAC I11 / XT，ERA，ERA / O，ERA / MC和DRAC / MC使用的SNMP代理端口否
 SNMP（陷阱）SNMP陷阱侦听器端口号
 623 Telnet底板pipe理控制器（BMC）pipe理实用程序默认端口是
 636 LDAP轻量级目录访问协议（LDAP）端口号
 443 HTTPS（SSL）DRAC 4默认端口是
 1311 HTTPS（SSL）Dell OpenManage Server Administrator默认端口是
 2148由Array Manager客户端用于连接 
 2606 TCP / IP Dell OpenManage IT Assistant连接服务和networking监视服务之间的通信是
 2607 HTTPS IT Assistant用户界面和连接服务之间的通信
是
 3269全局编录（GC）端口的LDAP LDAP
 3668 VMS虚拟媒体服务器是
 4995 TCP / IP Dell OpenManage客户端连接器（OMCC）默认端口是
 5869 spcmp服务器远程racadm spcmp服务器没有
 5900 VNC代理服务器DRAC III，DRAC III / XT，ERA和ERA / O的控制台redirect默认端口是5900

使用的参考：

DRAC 6 http://support.dell.com/support/edocs/software/smdrac3/idrac/idrac11mono/en/ug/html/racugc1.htm

DRAC 5 http://lists.us.dell.com/pipermail/linux-poweredge/2006-July/026495.html

DRAC 4 http://support.dell.com/support/edocs/software/smdrac3/drac4/1.1/en/UG/racugc1.htm

DRAC 3 http://support.dell.com/support/edocs/software/smsom/4.4/en/ug/security.htm