SNMP на Линухе. Простой (?) вопрос.

0

0

Полный затык.

Ставлю на RH 7.3 входящий в дистрибутив ucd-snmp-4.2.5-7.73.0
В /etc/snmp/snmpd.conf прописываю:

rocommunity public
disk / 10000
proc squid
syslocation office
sysservices 76
syscontact root@localhost
authtrapenable 1
trapcommunity public
trapsink 10.10.0.70 public
informsink 10.10.0.70 public
trap2sink 10.10.0.70 public

стартую сервис:
service snmpd start

Сканирую порты с другой машины:

Port State Service
161/udp open snmp
199/tcp open smux

т.е. порты слушаются

Пытаюсь выпонить c другой машины
snmpwalk -c public 10.10.0.1
а в ответ:
Timeout: No Response from 10.10.0.1
Если делаю на самой машине
snmpwalk -c public 127.0.0.1
то тоже получаю Timeout.

Смотрю tcpdump-ом и вижу, что пакеты идут только в одну сторону, ответов нет.

В логе такая картина:

Dec 19 10:38:48 asu1 snmpd: snmpd startup succeeded
Dec 19 10:38:49 asu1 ucd-snmp[15092]: UCD-SNMP version 4.2.5
Dec 19 10:39:00 asu1 ucd-snmp[15092]: Connection from 10.10.0.35 REFUSED
Dec 19 10:39:01 asu1 ucd-snmp[15092]: Connection from 10.10.0.35 REFUSED
Dec 19 10:39:02 asu1 ucd-snmp[15092]: Connection from 10.10.0.35 REFUSED
Dec 19 10:39:03 asu1 ucd-snmp[15092]: Connection from 10.10.0.35 REFUSED
Dec 19 10:39:04 asu1 ucd-snmp[15092]: Connection from 127.0.0.1 REFUSED
Dec 19 10:39:05 asu1 ucd-snmp[15092]: Connection from 127.0.0.1 REFUSED

При этом, если я рестартую snmpd, то вижу, что он как и указано в конфиге шлет трэпы на указанную машину.

Никакого файервола нет.
Что за беда? на Цисках и W2000 snmp запускается с пол-пинка.
Что нужно на Линуксе, чтобы он заработал?

Ссылка

←	SOCKS5 + Траффик

Dial-in сервер

→

0) Сразу скажу, что с snmptrap'ами не работал, да и с самим snmp уже подзабыл как. 1) snmptrap -- 162 порт udp. Может быть, он почему-то не открылся? (Кстати, нет никакой необходимости сканить линукс-сервер с другой машины, есть дивная команда 'netstat -ltun'). 2) Трэпы посылаются другой прогой, имя ей -- snmptrap.

Kasper ★
(19.12.02 13:05:54 MSK)

Ответ на: комментарий от Kasper 19.12.02 13:05:54 MSK

чтобы принимать трапы, там есть другой демон - snmptrapd, при его запуске начинает слушаться порт 162 udp. Но мне это пока не надо. Нужно получать инфу с компьютера по snmp. При запуске snmptrapd ситуация не меняется, - порт 162 начинает слушаться, но по 161 по-прежнему - REFUSED.

А 'netstat -ltun' действительно все хорошо показывает.)

anonymous
(19.12.02 15:33:01 MSK)

Ссылка

блин snmpconf пробовал? помогает......

anonymous
(19.12.02 16:52:07 MSK)

Ответ на: комментарий от anonymous 19.12.02 16:52:07 MSK

так вот тот конфиг, который я написал, как раз snmpconf-ом и создан..., а он (snmpd), зараза - REFUSED...

anonymous
(19.12.02 18:03:03 MSK)

Ответ на: комментарий от anonymous 19.12.02 18:03:03 MSK

ты эти все каки убери:
authtrapenable 1
trapcommunity public
trapsink 10.10.0.70 public
informsink 10.10.0.70 public
trap2sink 10.10.0.70 public
все равно юзать не будешь

gfdsa ★
(19.12.02 20:14:30 MSK)

Ссылка

Так тебе только snmp? Легко.

com2sec localnet 10.10.0.0/24 public
group mygroup v1 localnet
view mysystem included system
access mygroup "" any noauth exact mysystem none none

Помню, были какие-то запарки с include/exclude.
Решил я их или нет -- не помню.
Конфиг из установки, кстати, там рабочий вполне, только
при обращении по snmpwalk localhost public демон зачем-то
лез на флопарь. Поборол я это или нет -- опять же не помню.

Kasper ★
(20.12.02 08:16:13 MSK)

Ответ на: комментарий от Kasper 20.12.02 08:16:13 MSK

Есть! Нашел!!!

Дело оказалось не в настройке snmpd, а работе tcp wrapper.
Это я нашел в факе, сообщение о REFUSED появляется только в этом случае.
Вот читайте:

This is actually nothing to do with the access control mechanism
(though that's an understandable mistake). This is the result of
the TCP wrapper mechanism using the files 'hosts.allow' and 'hosts.deny'
to control access to the service. Some distributions may come with
this enabled automatically - otherwise you need to select it explicitly
by configuring using '--with-libwrap'.

The simplest way to avoid this problem is to add the line

snmpd: ALL

in the file /etc/hosts.allow (or wherever this file is on your system).
Though be aware that doing this removes one level of protection and allows
anyone to try and query your agent (though the agent's own access control
mechanisms can still be used to restrict what - if anything - they can see).

Note that personal firewalls (such as Linux' ipchains mechanism) may have
a similar effect (though typically this won't be logged).

ВСЕМ БОЛЬШОЕ СПАСИБО ЗА ЖЕЛАНИЕ ПОМОЧЬ!!!

anonymous
(20.12.02 17:46:23 MSK)

Ссылка

Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.

←	SOCKS5 + Траффик

Admin

Dial-in сервер

→

Есть! Нашел!!!

Похожие темы