PDA

Bekijk Volledige Versie : SNMPD aan 1 IP koppelen



Desmond
17/11/07, 22:44
Heren,

Weet iemand welke regel in mijn snmpd.conf ervoor zorgt dat alleen mijn 'Monitor Server' de SNMP informatie op mag halen en verder niemand anders?

Ik heb al flink gegoogled maar kom het niet zo 1 op 1 tegen.

Ik heb al zitten pielen met


agentaddress 161@ip_monitoring


Maar met deze regel kan ik alsnog overal vandaan de v1 en v2 snmp info ophalen ;)

Desmond

ToolZ
17/11/07, 23:16
Je moet het gewoon via iptables oplossen. Even zorgen dat er op port 161 met UDP en TCP alleen geconnect mag worden vanaf jouw ip.

Succes

Desmond
17/11/07, 23:46
ja inderdaad, super, bedankt ;) (Ik zal ff antwoord posten voor toekomstige 'zoekers')

iptables -A INPUT -j ACCEPT -p udp -s ip.van.monitoring.bak --dport 161

Als ik nu een snmpwalk doe vanaf een willekeurig bak uit het netwerk:
[root@server31 ~]# snmpwalk -v1 -c public 83.149.xx.xx
Timeout: No Response from 83.149.xx.xx

Als ik nu een snmpwalk doe vanaf mijn monitoring bak:
[root@server17 ~]# snmpwalk -v1 -c public 83.149.xx.xx
SNMPv2-MIB::sysDescr.0 = STRING: Linux server15.w3media.nl 2.6.9-1.667smp #1 SMP Tue Nov 2 14:59:52 EST 2004 i686
SNMPv2-MIB::sysObjectID.0 = OID: NET-SNMP-MIB::netSnmpAgentOIDs.10
SNMPv2-MIB::sysUpTime.0 = Timeticks: (333824) 0:55:38.24


Werkt als een tiet, nu ff op al mijn bakkies knallen :)

pierce
17/11/07, 23:58
Je kan ook een eigen community naam instellen, dit is dan je "wachtwoord".
Dus ipv "public" en "private" eigen namen verzinnen, nog beter is het natuurlijk om andere comunity names te gebruiken icm snmp v3. In principe zou je je firewall dan achterwege kunnen laten, maar persoonlijk zou ik hem dichtzetten.

Daarnaast kan je http://www.fwbuilder.org/ gebruiken om firewall scripts mee te maken. Maakt het een stuk overzichtelijker.

Desmond
18/11/07, 00:04
De community names zijn idd ook een stukje beveiling echter zou ik meer vertrouwen op iptables.

Ik zal eens in fwbuilder duiken, ik ben echt nog van de config files en bash scriptjes maar zal de tool eens testen :)

pierce
18/11/07, 00:15
Nog een kleine tip mbt firewall builder.
Je mag deze 30 dagen gratis proberen, daarna moet je een licentie kopen.
Maar als je de "Evaluation" string uit het register(HKEY_LOCAL_MACHINE\SOFTWARE\NetCitadel\Fi rewallBuilder\2.1) verwijderd kun je weer 30 dagen gratis oefenen ;)

Desmond
18/11/07, 00:31
Dat zijn altijd fijne tips ;)

Stefan Mensink
18/11/07, 00:43
Ik doe meestal iets in de zin van:

com2sec readonly xx.xx.xx.xx public

en dan een IP in de plaats van die xx.etc. de overige com2sec's haal je eruit.
zorg wel dat readonly ook wat te biieden heeft:

group MyROGroup v1 readonly
group MyROGroup v2c readonly
group MyROGroup usm readonly

Desmond
18/11/07, 09:31
Dat had ik dus gedaan en snmpd herstart maar nog kon ik info ophalen vanaf een andere bak.

Ik had hem zo staan:

com2sec readonly xx.xx.xx.xx public
group MyROSystem v1 paranoid
group MyROSystem v2c paranoid
group MyROSystem usm paranoid

maar hielp niet, vandaar mijn topic hier ;)

luser
18/11/07, 13:42
Als je gewoon SNMP v1 wil doen:
agentaddress x.x.x.x:161 (hiermee bind je de snmp daemon op een bep. ip ipv op al je ip's).
rocommunity JE-COMMUNITY IP-VAN-JE-MONITORING-DOOS