Forum général.général Accéder à IPMI via une freebox

Posté par  .
Étiquettes : aucune
0
30
sept.
2011

Bonjour chers amis.

J'ai un serveur tout seul dans une contrée très lointaine au bout d'une ligne dégroupée chez Free. Comme je n'ai pas les bras très longs, j'aimerai pouvoir controler les fonctions bas-niveau de la machine à distance. Cette machine dispose d'une interface IPMI qui permet de faire du SOL (Serial Over Lan), ce qui revient (si j'ai bien compris) à faire transiter un port série virtuel sur de l'UDP port 623.

Le problème est que:

  • Je ne veux pas ouvrir le port UDP en grand sur Internet.
  • La Freebox (v4) ne permet pas de filtrer l'IP source lorsqu'on forward un port.
  • Pour l'instant, sur place, il n'y a pas d'autres machines pour rebondir.

Je cherche donc une solution me permettant d'utiliser l'IPMI.

Au niveau purement logiciel, je ne vois pas trop comment assurer un filtrage, si vous avez des idées, je vous écoute.

Au niveau matériel, j'imagine ajouter une petite machine, comme un routeur OpenWrt ou un Plug computer, mais je trouve ça un peu dommage d'investir dans du matériel et consommer de l'électricité pour une règle iptables qui va rerouter quelques dizaines de paquets par an. De plus, le matériel neuf commence au dessus de 100€. Auriez vous d'autres idées ?

  • # DMZ

    Posté par  . Évalué à 1.

    Tu mets le serveur en DMZ.
    Filtrage d'ip source ou port knocking au besoin.

    • [^] # Re: DMZ

      Posté par  . Évalué à 1.

      Dans ce cas, je ne peux utiliser IPMI que lorsque la machine est en état de fonctionner. Je ne peux pas la démarrer ou la rebooter à distance, je ne peux pas me connecter si SSH ne réponds pas, je ne peux pas accéder au BIOS.

      • [^] # Re: DMZ

        Posté par  . Évalué à 2.

        La réponse nulle c'était celle du dessous.

  • # ssh puis ipmi

    Posté par  . Évalué à -1.

    Je ne suis pas un expert, mais j'aurai envie de faire faire un transfert de port sur la freebox pour te connecter en ssh sur la machine cible et là faire ce que tu veux

    • [^] # Re: ssh puis ipmi

      Posté par  . Évalué à 2.

      sauf que si la machine ne repond pas, il peut etre content de faire de l'acces bas niveau pour se depanner

      mais le ssh ne fonctionnerait pas

  • # Re: Forumgénéral.général — Accéder à IPMI via une freebox

    Posté par  (site web personnel) . Évalué à 2.

    j'imagine ajouter une petite machine, comme un routeur

    d'ailleurs savez vous si il est possible de faire ça simplement avec une seule carte réseau ?

    • [^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox

      Posté par  . Évalué à 1.

      Je ne comprends pas bien la question. Rediriger un port avec une seule carte réseau ?

      J'imagine qu'il y a un tas de solutions, mais rien qu'en faisant un NAT sur la machine de redirection, je ne pense pas que ça pose de problème qu'il y ait une carte ou plusieurs.

    • [^] # Re: Forumgénéral.général — Accéder à IPMI via une freebox

      Posté par  . Évalué à 2.

      C'est vraiment bête qu'il ne soit pas possible de le faire avec la Freebox. D'où l'on voit que l'ouverture du matériel n'est pas qu'une lubie de libristes mais répond aussi à des intérêts pratiques..

      Est-il envisageable de virer la Freebox et de la remplacer par un modem-routeur réellement fonctionnel? Ceci implique la perte des flux TV et téléphone, mais ils ne sont peut-être pas utilisés.

      THIS IS JUST A PLACEHOLDER. YOU SHOULD NEVER SEE THIS STRING.

  • # niveau de paranoia

    Posté par  . Évalué à 2.

    Tu peux déjà changer le port par défaut coté freebox (mettre 1623 par exemple,
    et forwarder en interne vers 623)
    Il y a également un login mot de passe à activer pour prise du contrôle à distance au niveau du bios.

    Avec ces 2 elements activés, ca bloque déjà pas mal de problèmes ..., après
    à toi de voire le niveau de paranoia souhaité ;)

    A+

    Nicolas

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.