Dell iDRAC6 Benutzerhandbuch Seite 208

1. Die folgenden RACADM-Befehle blockieren alle IP-Adressen außer 192.168.0.57:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. Zur Beschränkung von Anmeldungen auf einen kleinen Satz von vier angrenzenden IP-Adressen (z. B. 192.168.0.212 bis 192.168.0.215) wählen Sie alle
außer den niederwertigsten zwei Bits in der Maske, wie unten gezeigt:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
Das letzte Byte der Bereichsmaske ist auf 252 eingestellt, das Dezimaläquivalent von 11111100b.
Richtlinien zu IP-Filtern
Verwenden Sie die folgenden Richtlinien, wenn Sie den IP-Filter aktivieren:
Stellen Sie sicher, dass cfgRacTuneIpRangeMask in Form einer Netzmaske konfiguriert ist, wobei alle höchstwertigen Bits Einsen (1) sind (was das
l
Subnetz in der Maske definiert), mit einem Übergang zu nur Nullen (0) in den niederwertigeren Bits.
Verwenden Sie die Basisadresse des gewünschten Bereichs als Wert von cfgRacTuneIpRangeAddr. Der binäre 32 Bit-Wert dieser Adresse muss Nullen
l
in allen niederwertigen Bits haben, wo Nullen in der Maske sind.
IP-Blockierung konfigurieren
Durch IP-Blockierung wird dynamisch festgestellt, wenn von einer bestimmten IP-Adresse aus übermäßige Anmeldefehlversuche auftreten und die Adresse
eine bestimmte Zeit lang blockiert bzw. daran gehindert wird, eine Anmeldung am iDRAC6 durchzuführen.
Die Funktionen der IP-Blockierung schließen ein:
Die Anzahl zulässiger Anmeldefehlschläge (cfgRacTuneIpBlkFailcount)
l
Die Zeitspanne in Sekunden, während der diese Fehler auftreten müssen (cfgRacTuneIpBlkFailWindow)
l
Die Zeitdauer in Sekunden, während der die blockierte IP-Adresse daran gehindert wird, eine Sitzung herzustellen, nachdem die zulässige Anzahl von
l
Fehlern überschritten wurde (cfgRacTuneIpBlkPenaltyTime)
Wenn sich Anmeldefehler von einer spezifischen IP-Adresse aus ansammeln, werden sie durch einen internen Zähler registriert. Wenn sich der Benutzer
erfolgreich anmeldet, wird die Aufzeichnung der Fehlversuche gelöscht und der interne Zähler zurückgesetzt.
ANMERKUNG: Wenn Anmeldeversuche von der Client-IP-Adresse abgelehnt werden, können einige SSH-Clients die folgende Meldung anzeigen: ssh
exchange identification: Connection closed by remote host. (ssh exchange identification: Verbindung vom Remote-Host geschlossen).
Eine vollständige Liste von cfgRacTune-Eigenschaften steht unter
Verfügung.
"Anmeldungswiederholungs-Beschränkungseigenschaften (IP-Blockierung)" führt die vom Benutzer definierten Parameter auf.
Tabelle 15-6. Anmeldungswiederholungs-Beschränkungseigenschaften (IP-Blockierung)
Eigenschaft Definition
cfgRacTuneIpBlkEnable Aktiviert die IP-Blockierungsfunktion.
Wenn innerhalb eines bestimmten Zeitraums (cfgRacTuneIpBlkFailWindow) aufeinander folgende Fehler
(cfgRacTuneIpBlkFailCount) von einer einzelnen IP-Adresse aus festgestellt werden, werden alle weiteren Versuche, von
dieser Adresse aus eine Sitzung herzustellen, während eines bestimmten Zeitraums zurückgewiesen
(cfgRacTuneIpBlkPenaltyTime).
cfgRacTuneIpBlkFailCount Legt die Anzahl von Anmeldungsfehlversuchen einer IP-Adresse fest, bevor die Anmeldungsversuche zurückgewiesen
werden.
cfgRacTuneIpBlkFailWindow Die Zeitspanne in Sekunden, während der die fehlgeschlagenen Versuche gezählt werden. Wenn die Fehlversuche diese
Grenze überschreiten, werden sie aus dem Zähler gelöscht.
cfgRacTuneIpBlkPenaltyTime Definiert den Zeitraum in Sekunden, während dessen Anmeldeversuche von einer IP-Adresse aus aufgrund übermäßiger
Fehler zurückgewiesen werden.
IP-Blockierung aktivieren
Das folgende Beispiel hindert eine Client-IP-Adresse fünf Minuten lang daran, eine Sitzung zu beginnen, wenn dieser Client innerhalb einer Minute fünf
fehlerhafte Anmeldeversuche durchführt.
"Gruppen- und Objektdefinitionen der iDRAC6 Enterprise Eigenschaften-Datenbank" zur