Bonjour chers amis.
J'ai un serveur tout seul dans une contrée très lointaine au bout d'une ligne dégroupée chez Free. Comme je n'ai pas les bras très longs, j'aimerai pouvoir controler les fonctions bas-niveau de la machine à distance. Cette machine dispose d'une interface IPMI qui permet de faire du SOL (Serial Over Lan), ce qui revient (si j'ai bien compris) à faire transiter un port série virtuel sur de l'UDP port 623.
Le problème est que:
- Je ne veux pas ouvrir le port UDP en grand sur Internet.
- La Freebox (v4) ne permet pas de filtrer l'IP source lorsqu'on forward un port.
- Pour l'instant, sur place, il n'y a pas d'autres machines pour rebondir.
Je cherche donc une solution me permettant d'utiliser l'IPMI.
Au niveau purement logiciel, je ne vois pas trop comment assurer un filtrage, si vous avez des idées, je vous écoute.
Au niveau matériel, j'imagine ajouter une petite machine, comme un routeur OpenWrt ou un Plug computer, mais je trouve ça un peu dommage d'investir dans du matériel et consommer de l'électricité pour une règle iptables qui va rerouter quelques dizaines de paquets par an. De plus, le matériel neuf commence au dessus de 100€. Auriez vous d'autres idées ?
# DMZ
Posté par fcartegnie . Évalué à 1.
Tu mets le serveur en DMZ.
Filtrage d'ip source ou port knocking au besoin.
[^] # Re: DMZ
Posté par Sébastien Koechlin . Évalué à 1.
Dans ce cas, je ne peux utiliser IPMI que lorsque la machine est en état de fonctionner. Je ne peux pas la démarrer ou la rebooter à distance, je ne peux pas me connecter si SSH ne réponds pas, je ne peux pas accéder au BIOS.
[^] # Re: DMZ
Posté par fcartegnie . Évalué à 2.
La réponse nulle c'était celle du dessous.
# ssh puis ipmi
Posté par tienslebien . Évalué à -1.
Je ne suis pas un expert, mais j'aurai envie de faire faire un transfert de port sur la freebox pour te connecter en ssh sur la machine cible et là faire ce que tu veux
[^] # Re: ssh puis ipmi
Posté par NeoX . Évalué à 2.
sauf que si la machine ne repond pas, il peut etre content de faire de l'acces bas niveau pour se depanner
mais le ssh ne fonctionnerait pas
# Re: Forumgénéral.général — Accéder à IPMI via une freebox
Posté par Juke (site web personnel) . Évalué à 2.
d'ailleurs savez vous si il est possible de faire ça simplement avec une seule carte réseau ?
[^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox
Posté par Sébastien Koechlin . Évalué à 1.
Je ne comprends pas bien la question. Rediriger un port avec une seule carte réseau ?
J'imagine qu'il y a un tas de solutions, mais rien qu'en faisant un NAT sur la machine de redirection, je ne pense pas que ça pose de problème qu'il y ait une carte ou plusieurs.
[^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox
Posté par Grunt . Évalué à 2.
C'est vraiment bête qu'il ne soit pas possible de le faire avec la Freebox. D'où l'on voit que l'ouverture du matériel n'est pas qu'une lubie de libristes mais répond aussi à des intérêts pratiques..
Est-il envisageable de virer la Freebox et de la remplacer par un modem-routeur réellement fonctionnel? Ceci implique la perte des flux TV et téléphone, mais ils ne sont peut-être pas utilisés.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
[^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox
Posté par maxix . Évalué à 2.
Oui, c'est envisageable. Ca reviendrait par contre exactement au meme niveau consommation, cables, etc...
[^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox
Posté par Grunt . Évalué à 2.
Heu oui, mais vu qu'il faut de toute façon un modem routeur, autant qu'il soit pleinement fonctionnel, et il ne consommera pas forcément plus.
THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.
# niveau de paranoia
Posté par Old Geek . Évalué à 2.
Tu peux déjà changer le port par défaut coté freebox (mettre 1623 par exemple,
et forwarder en interne vers 623)
Il y a également un login mot de passe à activer pour prise du contrôle à distance au niveau du bios.
Avec ces 2 elements activés, ca bloque déjà pas mal de problèmes ..., après
à toi de voire le niveau de paranoia souhaité ;)
A+
Nicolas
Suivre le flux des commentaires
Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.