このスレッドは未解決です(解決したらこちらで解決済にしてください)
<<戻る

snmpに関するiptables設定 このメッセージに返信する
日時: 2012/05/16 13:19
名前: ochi
URL:
勉学のため、いつも参考にさせて頂いております。

iptablesの設定にて、分からなくなってしまいご相談いたします。


<予定動作>
・状態管理サーバと対象サーバ間のsnmpによる状態管理(いまのところsnmpwalkコマンドによる情報)
・他のPC(機器)が対象サーバからsnmpによる情報を得られないようにしたい。
・他のPC(機器)から対象サーバへのポートスキャンでsnmpの動作の有無が検出されないようにしたい。


<対象サーバに行ったiptable設定>
(他にメール、メーリングリスト用の設定してますが略)
# iptables -P INPUT DROP
# iptables -P OUTPUT ACCEPT
# iptables -P FORWARD ACCEPT
# iptables -A INPUT -i lo -j ACCEPT
# iptables -A INPUT -s 状態管理サーバip -i eth0 -p udp -m state --state NEW -m udp --dport 161 -j ACCEPT
# iptables -A INPUT -s 状態管理サーバip -i eth0 -p udp -m state --state NEW -m udp --dport 162 -j ACCEPT
# iptables-save
#/etc/rc.d/init.d/iptables save
#/etc/rc.d/init.d/iptables restart


**************************************************************************

<iptable設定無しの時、他のPCからポートスキャン>
nmap -v -sU -p 対象サーバ → 161/udp open snmp と表示される
nmap -v -sU -p 対象サーバ → 162/udp open|filtered snmptrap と表示される
<iptable設定後、他のPCからポートスキャン>
nmap -v -sU -p 対象サーバ → 161/udp open|filtered snmp と表示される
nmap -v -sU -p 対象サーバ → 162/udp open|filtered snmptrap と表示される

**************************************************************************

iptable設定後、状態管理サーバからsnmpwalk -v 1 対象サーバ -c public .1.3.6.1.4.1.2021.9
にて情報を出力させようとしたところ、dskindex.1 = INTEGER: 1と一行出たあと情報が出ずにtimeoutしてしまうようになりました。
どのように設定すれば従来通り情報が得られるようになりますでしょうか。
また、この状態でポートスキャンに対応できているのでしょうか。


記事編集 編集
Re: snmpに関するiptables設定 このメッセージに返信する
日時: 2012/05/16 16:29
名前: ochi
URL:
snmpの設定記入し忘れてました

com2sec local localhost private
com2sec mynetwork (相手アドレス) public

group MyROGroup v1 local
group MyROGroup v2c local
group MyROGroup v1 mynetwork
group MyROGroup v2c mynetwork

view all included .1 80

access MyROGroup "" any noauth exact all none none

disk / 10000
記事編集 編集
件名※必須
名前※必須
URL
任意のパスワード (投稿後のコメント修正・削除時に使用)
画像認証※必須 投稿キー(画像で表示されている数字を入力)
コメント※必須

※質問を投稿後に自己解決された場合は、原因と行った対処を具体的に書き込み下さるよう、よろしくお願いします。

- WEB PATIO -