Users Guide
IP フィルタのガイドライン
IP フィルタを有効にする場合は、次のガイドラインに従ってください。
l cfgRacTuneIpRangeMask は必ずネットマスク形式で設定します。最上位ビットがすべて 1 で(これがマスクのサブネットを定義)、下位ビットはすべてゼロにします。
l 必要な範囲の基底アドレスを cfgRacTuneIpRangeAddr の値として使用します。このアドレスの 32 ビットのバイナリ値は、マスクにゼロがある下位ビットがすべてゼロになります。
IP ブロック
IP ブロックは、事前に選択した時間枠で、特定の IP アドレスからの過剰なログイン失敗を動的に検知し、そのアドレスが iDRAC6 にログインできないようにブロックします。
IP ブロックのパラメータは、次のような cfgRacTuning グループ機能を使用します。
l 許可するログイン失敗回数
l これらの失敗を数える時間枠(秒)
l ログイン失敗回数が所定の合計数を超えた IP アドレスからのセッション確立を防止する時間(秒)
特定の IP アドレスからのログイン失敗が累積すると、それらは内部カウンタによって計数されます。ユーザーがログインに成功すると、失敗履歴がクリアされて、内部カウンタがリセットされます。
cfgRacTuning の全プロパティのリストは、デルサポートサイト support.dell.com/manuals にある『iDRAC6 Administrator リファレンスガイド』を参照してください。
表22-12 に、ユーザー定義のパラメータを示します。
表 22-12.ログイン再試行制限のプロパティ
IP ブロックを有効にする
次の例では、クライアントが 1 分間に 5 回ログイン試行に失敗した場合に、5 分間このクライアント IP アドレスのセッション確立を防止します。
racadm config -g cfgRacTuning -o cfgRacTuneIpRangeEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 5
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 300
次の例は、1 分以内に失敗が 3 回を超えた場合に、1 時間ログイン試行を阻止します。
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkEnable 1
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailCount 3
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkFailWindows 60
racadm config -g cfgRacTuning -o cfgRacTuneIpBlkPenaltyTime 3600
iDRAC6 GUI を使ったネットワークセキュリティの設定
1. システム ツリーで、iDRAC の設定 をクリックします。
メモ:クライアント IP アドレスからのログイン試行が拒否されると、SSH クライアントに「SSH ID: リモートホストが接続を閉じました」というメッセージが表示される場合があります。
プロパティ
定義
cfgRacTuneIpBlkEnable
IP ブロック機能を有効にします。
一定時間内に(cfgRacTuneIpBlkFailCount)1 つの IP アドレスからの失敗が連続すると(cfgRacTuneIpBlkFailWindow)、以降そのアドレスか
らのセッション確立試行が一定の時間(cfgRacTuneIpBlkPenaltyTime)拒否されます。
cfgRacTuneIpBlkFailCount
ログイン試行を拒否するまでの IP アドレスのログイン失敗回数を設定します。
cfgRacTuneIpBlkFailWindow
失敗回数を数える時間枠を秒で指定します。失敗回数がこの制限値を超えると、カウンタはリセットされます。
cfgRacTuneIpBlkPenaltyTime
失敗回数が制限値を超えた IP アドレスからのセッションをすべて拒否する時間枠を秒で定義します。
メモ:次の手順を実行するには、iDRAC6 の設定 権限が必要です。