Users Guide
1. Die folgenden RACADM-Befehle blockieren alle IP-Adressenaußer192.168.0.57:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. ZurBeschränkungvonAnmeldungenaufeinenkleinenSatzvonvierangrenzendenIP-Adressen(z.B.192.168.0.212bis192.168.0.215)wählenSiealle
außerdenniederwertigstenzweiBitsinderMaske,wieuntengezeigt:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
DasletzteBytederBereichsmaskeistauf252eingestellt,dasDezimaläquivalentvon11111100b.
Richtlinien zu IP-Filtern
Verwenden Sie die folgenden Richtlinien, wenn Sie den IP-Filter aktivieren:
l Stellen Sie sicher, dass cfgRacTuneIpRangeMaskinFormeinerNetzmaskekonfiguriertist,wobeiallehöchstwertigenBitsEinsen(1)sind(wasdas
SubnetzinderMaskedefiniert),miteinemÜbergangzunurNullen(0)indenniederwertigerenBits.
l VerwendenSiedieBasisadressedesgewünschtenBereichsalsWertvoncfgRacTuneIpRangeAddr.Derbinäre32Bit-Wert dieser Adresse muss Nullen
in allen niederwertigen Bits haben, wo Nullen in der Maske sind.
IP-Blockierung konfigurieren
Durch IP-Blockierung wird dynamisch festgestellt, wenn von einer bestimmten IP-AdresseausübermäßigeAnmeldefehlversucheauftretenunddieAdresse
einebestimmteZeitlangblockiertbzw.darangehindertwird,eineAnmeldungamiDRAC6durchzuführen.
Die Funktionen der IP-Blockierungschließenein:
l DieAnzahlzulässigerAnmeldefehlschläge(cfgRacTuneIpBlkFailcount)
l DieZeitspanneinSekunden,währendderdieseFehlerauftretenmüssen(cfgRacTuneIpBlkFailWindow)
l DieZeitdauerinSekunden,währendderdieblockierteIP-Adressedarangehindertwird,eineSitzungherzustellen,nachdemdiezulässigeAnzahlvon
Fehlernüberschrittenwurde(cfgRacTuneIpBlkPenaltyTime)
Wenn sich Anmeldefehler von einer spezifischen IP-Adresseausansammeln,werdensiedurcheineninternenZählerregistriert.WennsichderBenutzer
erfolgreichanmeldet,wirddieAufzeichnungderFehlversuchegelöschtundderinterneZählerzurückgesetzt.
EinevollständigeListevoncfgRacTune-Eigenschaften steht unter "Gruppen- und Objektdefinitionen der iDRAC6 Enterprise Eigenschaften-Datenbank" zur
Verfügung.
"Anmeldungswiederholungs-Beschränkungseigenschaften(IP-Blockierung)"führtdievomBenutzerdefiniertenParameterauf.
Tabelle 15-6.Anmeldungswiederholungs-Beschränkungseigenschaften(IP-Blockierung)
IP-Blockierung aktivieren
Das folgende Beispiel hindert eine Client-IP-AdressefünfMinutenlangdaran,eineSitzungzubeginnen,wenndieserClientinnerhalbeinerMinutefünf
fehlerhafteAnmeldeversuchedurchführt.
ANMERKUNG: Wenn Anmeldeversuche von der Client-IP-Adresseabgelehntwerden,könneneinigeSSH-Clients die folgende Meldung anzeigen: ssh
exchange identification: Connection closed by remote host. (ssh exchange identification: Verbindung vom Remote-Host geschlossen).
Eigenschaft
Definition
cfgRacTuneIpBlkEnable
Aktiviert die IP-Blockierungsfunktion.
Wenn innerhalb eines bestimmten Zeitraums (cfgRacTuneIpBlkFailWindow) aufeinander folgende Fehler
(cfgRacTuneIpBlkFailCount) von einer einzelnen IP-Adresse aus festgestellt werden, werden alle weiteren Versuche, von
dieserAdresseauseineSitzungherzustellen,währendeinesbestimmtenZeitraumszurückgewiesen
(cfgRacTuneIpBlkPenaltyTime).
cfgRacTuneIpBlkFailCount
Legt die Anzahl von Anmeldungsfehlversuchen einer IP-Adressefest,bevordieAnmeldungsversuchezurückgewiesen
werden.
cfgRacTuneIpBlkFailWindow
DieZeitspanneinSekunden,währendderdiefehlgeschlagenenVersuchegezähltwerden.WenndieFehlversuchediese
Grenzeüberschreiten,werdensieausdemZählergelöscht.
cfgRacTuneIpBlkPenaltyTime
DefiniertdenZeitrauminSekunden,währenddessenAnmeldeversuchevoneinerIP-Adresseausaufgrundübermäßiger
Fehlerzurückgewiesenwerden.