Users Guide
1. 以下 RACADM 命令会阻塞除 192.168.0.57 以外的所有 IP 地址:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.57
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. 要将登录限制到一小组四个相邻 IP 地址(例如,192.168.0.212 到 192.168.0.215),则选择掩码中除最低的两个位以外的所有位,如下所示:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
范围掩码的最后字节设置为 252,十进制数字为 11111100b。
IP 筛选原则
启用 IP 筛选时应遵循以下原则:
l 确保 cfgRacTuneIpRangeMask 以网络掩码的形式配置,所有的重要位为 1(定义掩码中的子网),在低位都变为 0。
l 使用所需范围的基地址作为 cfgRacTuneIpRangeAddr 的值。此地址的 32 位二进制值应将掩码中为零的所有低位都设为零。
配置 IP 阻塞
IP 阻塞可动态确定来自特定 IP 地址的登录失败次数何时过多,并阻塞(或防止)该地址在预选的时间长度内登录 iDRAC6。
IP 阻塞功能包括:
l 允许的登录失败次数 (cfgRacTuneIpBlkFailcount)
l 按秒计的这些失败必须发生的时间范围 (cfgRacTuneIpBlkFailWindow)
l 被阻塞 IP 地址在超过允许失败次数后不能建立会话的时间(秒)(cfgRacTuneIpBlkPenaltyTime)
随着特定 IP 地址的登录失败次数不断累积,这些值会由内部计数器"登记"。当用户成功登录后,失败历史记录就会清除并且内部计数器将重设。
请参阅 Dell 支持网站 support.dell.com/manuals 提供的《iDRAC6
管理员参考指南
》,了解 cfgRacTune 属性的完整列表。
表 13-5 列出了用户定义的参数。
表 13-5.登录重试限制(IP 阻塞)属性
启用 IP 阻塞
以下示例显示,如果客户端在一分钟内超过五次登录尝试失败,将在五分钟内阻止该客户端 IP 地址建立会话。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindow 60
注: 如果客户端 IP 地址的登录尝试遭到拒绝,有些 SSH 客户端会显示以下信息:ssh exchange identification: Connection closed by remote host.(ssh exchange 标
识:连接被远程主机关闭)。
属性
定义
cfgRacTuneIpBlkEnable
启用 IP 阻塞功能。
如果在一段时间内 (cfgRacTuneIpBlkFailWindow) 一个 IP 地址出现连续的失败 (cfgRacTuneIpBlkFailCount),则在一段时间内
(cfgRacTuneIpBlkPenaltyTime) 来自该地址的所有其它建立会话的尝试都会遭到拒绝。
cfgRacTuneIpBlkFailCount
设置拒绝某 IP 地址的登录尝试前允许的登录失败次数。
cfgRacTuneIpBlkFailWindow
计算失败尝试次数的时间范围(秒)。当失败次数超出此限制时,将不会记入计数器。
cfgRacTuneIpBlkPenaltyTime
定义一个时间范围(以秒为单位),在该范围内拒绝失败次数过多的某个 IP 地址的登录尝试。