Users Guide
IP フィルタを有効にする
以下に、IP フィルタ設定のコマンド例を示します。
RACADM と RACADM コマンドの詳細については、RACADM のリモート使用 を参照してください。
ログインを 1 つの IP アドレスに限定するには(たとえば 192.168.0.57)、次のようにフルマスクを使用してください。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
連続する 4 つの IP アドレスにログインを限定するには(たとえば、192.168.0.212~192.168.0.215)、次のようにマスクの最下位の 2 ビットを除くすべてを選択します。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
IP フィルタのガイドライン
IP フィルタを有効にする場合は、次のガイドラインに従ってください。
l cfgRacTuneIpRangeMask は必ずネットマスク形式で設定します。最上位ビットがすべて 1 で(これがマスクのサブネットを定義)、下位ビットはすべてゼロにします。
l 必要な範囲の基底アドレスを cfgRacTuneIpRangeAddr の値として使用します。このアドレスの 32 ビットのバイナリ値は、マスクにゼロがある下位ビットがすべてゼロになります。
IP ブロック
IP ブロックは、事前に選択した時間内に特定の IP アドレスからのログイン失敗回数が過剰になるときを動的に決定し、そのアドレスが DRAC 5 にログインするのをブロック(防止)します。
IP ブロックのパラメータは、次のような cfgRacTuning グループ機能を使用します。
l 許可するログイン失敗回数
l これらの失敗を数える時間枠(秒)
l ログイン失敗回数が所定の合計数を超えた IP アドレスからのセッション確立を防止する時間(秒)
特定の IP アドレスからのログイン失敗が累積すると、それらは内部カウンタによって計数されます。ユーザーがログインに成功すると、失敗履歴がクリアされて、内部カウンタがリセットされます。
cfgRacTuneプロパティの全リストは、DRAC 5 プロパティデータベースのグループとオブジェクトの定義 を参照してください。
表12-16 に、ユーザー定義のパラメータを示します。
表 12-16.ログイン再試行制限のプロパティ
IP ブロックを有効にする
次の例では、クライアントが 1 分間に 5 回ログイン試行に失敗した場合に、5 分間このクライアント IP アドレスのセッション確立を防止します。
メモ:次の RACADM コマンドは 192.168.0.57 以外のすべての IP アドレスをブロックします。
メモ:クライアント IP アドレスからのログイン試行が拒否されると、SSH クライアントに「SSH ID: リモートホストが接続を閉じました」というメッセージが表示される場合があります。
プロパティ
定義
cfgRacTuneIpBlkEnable
IP ブロック機能を有効にします。
一定時間内に(cfgRacTuneIpBlkFailCount)1 つの IP アドレスからの失敗が連続すると(cfgRacTuneIpBlkFailWindow)、以降そのアドレス
からのセッション確立試行が一定の時間(cfgRacTuneIpBlkPenaltyTime) 拒否されます。
cfgRacTuneIpBlkFailCount
ログイン試行を拒否するまでの IP アドレスのログイン失敗回数を設定します。
cfgRacTuneIpBlkFailWindow
失敗回数を数える時間枠を秒で指定します。失敗回数がこの制限値を超えると、カウンタはリセットされます。
crgRacTuneIpBlkPenaltyTime
失敗回数が制限値を超えた IP アドレスからのセッションをすべて拒否する時間枠を秒で定義します。