Bekijk Volledige Versie : SNMPD aan 1 IP koppelen
Heren,
Weet iemand welke regel in mijn snmpd.conf ervoor zorgt dat alleen mijn 'Monitor Server' de SNMP informatie op mag halen en verder niemand anders?
Ik heb al flink gegoogled maar kom het niet zo 1 op 1 tegen.
Ik heb al zitten pielen met
agentaddress 161@ip_monitoring
Maar met deze regel kan ik alsnog overal vandaan de v1 en v2 snmp info ophalen ;)
Desmond
Je moet het gewoon via iptables oplossen. Even zorgen dat er op port 161 met UDP en TCP alleen geconnect mag worden vanaf jouw ip.
Succes
ja inderdaad, super, bedankt ;) (Ik zal ff antwoord posten voor toekomstige 'zoekers')
iptables -A INPUT -j ACCEPT -p udp -s ip.van.monitoring.bak --dport 161
Als ik nu een snmpwalk doe vanaf een willekeurig bak uit het netwerk:
[root@server31 ~]# snmpwalk -v1 -c public 83.149.xx.xx
Timeout: No Response from 83.149.xx.xx
Als ik nu een snmpwalk doe vanaf mijn monitoring bak:
[root@server17 ~]# snmpwalk -v1 -c public 83.149.xx.xx
SNMPv2-MIB::sysDescr.0 = STRING: Linux server15.w3media.nl 2.6.9-1.667smp #1 SMP Tue Nov 2 14:59:52 EST 2004 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
SNMPv2-MIB::sysUpTime.0 = Timeticks: (333824) 0:55:38.24
Werkt als een tiet, nu ff op al mijn bakkies knallen :)
Je kan ook een eigen community naam instellen, dit is dan je "wachtwoord".
Dus ipv "public" en "private" eigen namen verzinnen, nog beter is het natuurlijk om andere comunity names te gebruiken icm snmp v3. In principe zou je je firewall dan achterwege kunnen laten, maar persoonlijk zou ik hem dichtzetten.
Daarnaast kan je http://www.fwbuilder.org/ gebruiken om firewall scripts mee te maken. Maakt het een stuk overzichtelijker.
De community names zijn idd ook een stukje beveiling echter zou ik meer vertrouwen op iptables.
Ik zal eens in fwbuilder duiken, ik ben echt nog van de config files en bash scriptjes maar zal de tool eens testen :)
Nog een kleine tip mbt firewall builder.
Je mag deze 30 dagen gratis proberen, daarna moet je een licentie kopen.
Maar als je de "Evaluation" string uit het register(HKEY_LOCAL_MACHINE\SOFTWARE\NetCitadel\Fi rewallBuilder\2.1) verwijderd kun je weer 30 dagen gratis oefenen ;)
Dat zijn altijd fijne tips ;)
Stefan Mensink
18/11/07, 00:43
Ik doe meestal iets in de zin van:
com2sec readonly xx.xx.xx.xx public
en dan een IP in de plaats van die xx.etc. de overige com2sec's haal je eruit.
zorg wel dat readonly ook wat te biieden heeft:
group MyROGroup v1 readonly
group MyROGroup v2c readonly
group MyROGroup usm readonly
Dat had ik dus gedaan en snmpd herstart maar nog kon ik info ophalen vanaf een andere bak.
Ik had hem zo staan:
com2sec readonly xx.xx.xx.xx public
group MyROSystem v1 paranoid
group MyROSystem v2c paranoid
group MyROSystem usm paranoid
maar hielp niet, vandaar mijn topic hier ;)
Als je gewoon SNMP v1 wil doen:
agentaddress x.x.x.x:161 (hiermee bind je de snmp daemon op een bep. ip ipv op al je ip's).
rocommunity JE-COMMUNITY IP-VAN-JE-MONITORING-DOOS