Jump to content
  • 0

SNMP мониторинг через WAN интерфейс


Megavolt1000
 Share

Question

Добрый день,

использую встроенный в прошивку snmpd, включал через CLI

  499 root      1784 S    /usr/sbin/mini_snmpd -n -s -D Keenetic Giga III (NDMS v2.08(AAUW.0)C1) -c public
 

он слушает на всех интерфейсах

root@Keenetic_Giga3:/opt/etc$ netstat -lnp | grep snmpd
tcp        0      0 0.0.0.0:161             0.0.0.0:*               LISTEN      499/mini_snmpd
udp        0      0 0.0.0.0:161             0.0.0.0:*                           499/mini_snmpd

в фаерволле порт открыт

Цитата

Правила для интерфейса:

  Действие Протокол Источник Порт Назначение Порт     Состояние
  permit icmp/ *   *       Включено
  permit udp/161 *   * 161     Включено
  permit tcp/161 *   * 161     Включено
  permit tcp/10050 *   * 10050     Включено

А снаружи порты 161 не открываются (10050 - ок)

Порты первой тысячи надо как-то особенно открывать? Что я делаю не так?

PS. провайдер Онлайм утверждает, что блокирует только tcp/25

PS2. разные представители провайдера дают разные показания.

Цитата

TCP/25 – предотвращение спам-активности;
TCP/135-139, TCP/445 и UDP/135-139 – Обеспечение безопасности систем, работающих под ОС MS Windows;
TCP/23, TCP/161, UDP/69 и UDP/161– Защита клиентского оборудования.

остальные не блокируются

 

Собственно, вопрос:

как поменять порт для втроенного snmpd ?

если использовать встроенный совместно с entware, будет 2 процесса, 2 набора параметров?

 

Спасибо

Edited by Megavolt1000
дополнение о провайдере (2), вопрос
Link to comment
Share on other sites

4 answers to this question

Recommended Posts

  • 0

@Le ecureuil вы имеете в виду tcp/10161 => localhost/161 ?

А доступа к конфигурации встроенного mini_snmpd нет? Я бы ему и community  поменял, и порт.

Прокомментируйте, пожалуйста, почему _небезопасно_, если я фаерволлом разрешу только один нужный IP?

какие вообще есть в SNMP угрозы?

 

Спасибо.

Link to comment
Share on other sites

  • 0
4 часа назад, Megavolt1000 сказал:

@Le ecureuil вы имеете в виду tcp/10161 => localhost/161 ?

А доступа к конфигурации встроенного mini_snmpd нет? Я бы ему и community  поменял, и порт.

Прокомментируйте, пожалуйста, почему _небезопасно_, если я фаерволлом разрешу только один нужный IP?

какие вообще есть в SNMP угрозы?

 

Спасибо.

community меняется через

> snmp community
 

Порт не меняется, только пробросом.

Насчет ликбеза - это не ко мне, нет времени писать пространные мануалы каждому о том, что и так на каждом углу валяется в Интернете.

Link to comment
Share on other sites

  • 0

@Le ecureuil, спасибо.

В интернете много чего валяется. Интересовала ваша точка зрения на реализацию SNMP в обсуждаемых устройствах, раз уж вы говорите о небезопасности. Ну ОК, нет времени - запомним многозначительное "небезопасно".

Link to comment
Share on other sites

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.
Note: Your post will require moderator approval before it will be visible.

Guest
Answer this question...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

 Share

  • Recently Browsing   0 members

    • No registered users viewing this page.
×
×
  • Create New...