在代理背后使用Supermicro？

Question

这是一个SuperMicro服务器，它有一个X8DT3主板，其中包含一个车载IPMI .在这种情况下，BMC是一个温邦德WPCM450 450)。我相信许多戴尔服务器都使用类似的BMC模式。

IPMI的一个常见做法是将其隔离到一个私有的、不可路由的网络中。在我们的例子中，所有IPMI卡都在192.168.1.0/24插入到私有管理局域网中，这没有通往外部世界的路线。如果我将我的笔记本电脑插入到192.168.1.0/24网络中，我可以验证所有IPMI功能都能正常工作，包括远程控制台。

我需要通过某种加密连接从不同的网络访问所有IPMI功能。

我试过SSH端口转发。这对于一些服务器来说很好，但是，我们有将近100台这样的服务器，维护SSH客户端配置在100台服务器上转发6个端口是不切实际的。

所以我想我应该试试SOCKS代理。这是可行的，但是远程控制台应用程序似乎不服从我的系统范围的代理设置。

1. 我设置了一个SOCKS代理。详细记录允许我查看网络活动，以及端口是否被转发。ssh -v -D 3333 stefanl@gateway.example.org
2. 我将我的系统配置为使用SOCKS代理。我确认Java正在使用SOCKS代理设置。
3. SOCKS代理正在起作用。我使用我的网页浏览器连接到http://192.168.1.100/的BMC。我可以登录，查看服务器健康，打开或关闭机器等等。由于启用了SSH详细日志，我可以看到进度。

这是它变得棘手的地方：

1. 我点击“启动控制台”按钮，下载一个名为jviewer.jnlp的文件。JNLP文件用Java打开。
2. 打开一个Java窗口。标题栏在标题栏上写着“重定向查看器”。还有“视频”、“键盘”、“鼠标”等菜单，这证实了Java可以通过代理下载应用程序，并启动应用程序。
3. 60秒后，应用程序超时，只需说“打开视频套接字时出错”。这是一个屏幕截图。如果这有效的话，我会看到一个VNC风格的窗口。我的SSH日志显示没有连接端口5900/5901的尝试。这表明Java应用程序启动了VNC应用程序，但是VNC应用程序忽略了系统范围的代理设置，因此无法连接到远程主机。

Java似乎遵从我的全系统代理设置，但这个VNC应用程序似乎忽略了它。

有没有办法强迫这个VNC应用程序使用我的系统范围的代理设置？

Answer 1

听起来VPN可能是你最好的选择。在路由器上有一个ACL，这样唯一的非本地通信必须穿越VPN，您就完成了。非常简单，安全，以及易于管理。

Answer 2

我发现最好不要为此使用socks代理，而是在本地主机IP上转发所有必要的端口。为了避免任何现有的服务，我使用与127.0.0.1不同的IP。假设您选择了127.0.0.2，并且代理后面的服务器是192.168.1.1，那么下面是要使用的ssh命令：

用户@proxy-server -L127.0.0.2:443:192.168.1.1:443 -L127.0.0.2:5900:192.168.1.1:5900 -L127.0.0.2:5901:192.168.1.1:5901 -L127.0.0.2:5120:192.168.1.1:5120 -L127.0.0.2:5123:192.168.1.1:5123 -C

然后您可以像往常一样浏览https://127.0.0.2并使用KVM。

转发的TCP端口用于控制和视频为5900和5901，对于虚拟CD为5120，对于虚拟软盘为5123 (我没有测试后两者)。添加了用于压缩的-C，不过我不知道发送的任何内容是否适合压缩。

另一个在linux上稍微舒服一些(理论上更好)的方法是使用梭子，它使用iptables和代理服务器上的python解释器透明地通过ssh转发所有的TCP连接。

穿梭-r用户@proxy-server 192.168.1.1

提示:航天飞机正在用Debian包装。

我还不能转发的是UDP端口623，它可以用于ipmitool，一个用于IPMI的CLI连接。那里 是 几个关于这方面的教程，但没有一篇适合我。总之，Java已经足够好了。

Answer 3

尝试茶匙，它应该允许您通过SOCKS代理运行任何进程，方法是设置在所有子进程中都应该工作的LD_PRELOAD，例如，请参见这。当然，如果您使用ssh创建一个SOCKS代理，您仍然会遇到UDP问题，但这应该可以避免子流程问题。