Users Guide
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.255
2. ZurBeschränkungderAnmeldungaufeinenkleinenSatzvonvierangrenzendenIP-Adressen(zumBeispiel:192.168.0.212bis192.168.0.215),wählen
SiealleaußerdenniederwertigstenzweiBitinderMaske,wieuntengezeigt:
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeAddr 192.168.0.212
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeMask 255.255.255.252
DasletzteBytederBereichsmaskeistauf252eingestellt,dasDezimaläquivalentvon11111100b.
IP-Filter - Richtlinien
Verwenden Sie die folgenden Richtlinien, wenn Sie den IP-Filter aktivieren:
l Stellen Sie sicher, dass cfgRacTuneIpRangeMaskinFormeinerNetzmaskekonfiguriertist,beiderallehöchstwertigenBitsEinsen(1)sind(wasdas
SubnetzinderMaskedefiniert),miteinemÜbergangzunurNullen(0)indenniederwertigerenBits.
l VerwendenSiedieBasisadressedesgewünschtenBereichesalsWertvoncfgRacTuneIpRangeAddr.Derbinäre32-Bit-Wert dieser Adresse sollte
Nullen in allen niederwertigen Bits haben, wo Nullen in der Maske sind.
IP-Blockierung konfigurieren
Durch IP-Blockierung wird dynamisch festgestellt, wenn von einer bestimmten IP-AdresseausübermäßigeAnmeldefehlschlägeauftretenunddieAdresse
blockiertbzw.darangehindertwird,einebestimmteZeitlangeineAnmeldungamiDRACdurchzuführen.
Die Funktionen der IP-Blockierungschließenein:
l DieAnzahlzulässigerAnmeldefehlschläge(cfgRacTuneIpBlkFailcount)
l DieZeitspanneinSekunden,währendderdieseFehlerauftretenmüssen(cfgRacTuneIpBlkFailWindow)
l DieZeitdauerinSekunden,währendderdieblockierteIP-Adressedarangehindertwird,eineSitzungherzustellen,nachdemdiezulässigeAnzahlvon
Fehlernüberschrittenwurde(cfgRacTuneIpBlkPenaltyTime)
Wenn sich Anmeldefehler von einer spezifischen IP-Adresse aus ansammeln, werden sie durch einen internen Schalter registriert. Wenn sich der Benutzer
erfolgreichanmeldet,wirddasFehlerprotokollgelöscht,undderinterneZählerwirdzurückgesetzt.
EinevollständigeListedercfgRacTune-Eigenschaften finden Sie unter Gruppen- und Objektdefinitionen der iDRAC-Eigenschaftendatenbank.
In den EinschränkungseigenschaftenzurAnmeldewiederholungwerdendiebenutzerdefiniertenParameteraufgeführt.
Tabelle 9-5. Anmeldungswiederholungs-Beschränkungseigenschaften
IP-Blockieren aktivieren
Das folgende Beispiel hindert eine Client-IP-AdressefünfMinutenlangdaran,eineSitzungzubeginnen,wenndieserClientinnerhalbeinerMinutefünf
fehlerhafteAnmeldeversuchedurchführt.
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindow 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 300
DasfolgendeBeispielverhindertmehralsdreifehlerhafteVersucheinnerhalbeinerMinute,undverhinderteineStundelangzusätzlicheAnmeldungsversuche.
ANMERKUNG: Wenn Anmeldungsversuche von der Client-IP-Adresseabgelehntwerden,könneneinigeSSH-Clients die folgende Meldung anzeigen: ssh
exchange identification: Verbindung vom Remote Host geschlossen.
Eigenschaft
Definition
cfgRacTuneIpBlkEnable
Aktiviert die IP-Blockierungsfunktion.
Wenn innerhalb eines bestimmten Zeitraums aufeinander folgende Fehler (cfgRacTuneIpBlkFailCount) von einer einzelnen
IP-Adresse aus festgestellt werden (cfgRacTuneIpBlkFailWindow), werden alle weiteren Versuche, von dieser Adresse aus
eineSitzungherzustellen,währendeinesbestimmtenZeitraumszurückgewiesen(cfgRacTuneIpBlkPenaltyTime).
cfgRacTuneIpBlkFailCount
Legt die Anzahl von Anmeldungsfehlern einer IP-Adressefest,bevordieAnmeldungsversuchezurückgewiesenwerden.
cfgRacTuneIpBlkFailWindow
DieZeitspanneinSekunden,währendderdiefehlgeschlagenenVersuchegezähltwerden.WenndieFehlerdieseGrenze
überschreiten,werdensieausdemZählergelöscht.
cfgRacTuneIpBlkPenaltyTime
DefiniertdenZeitrauminSekunden,währenddemAnmeldeversuchevoneinerIP-AdresseausaufGrundübermäßigerFehler
zurückgewiesenwerden.