Firewall Netasq et Cacti - Sécurité - Systèmes & Réseaux Pro
Marsh Posté le 10-11-2009 à 11:42:00
as-tu bien autorisé ton serveur cacti à interroger le netasq sur "l'interface" 10.67.0.30 ?.
Marsh Posté le 10-11-2009 à 13:33:10
Citation : as-tu bien autorisé ton serveur cacti à interroger le netasq sur "l'interface" 10.67.0.30 ? |
En créant une règle explicite dans policy/filtering?
Citation : SNMP bien configuré des 2 côtés ? |
SNMP V1 ou V2 rien ne focntionne, communauté public
Marsh Posté le 13-11-2009 à 12:48:32
Citation : En créant une règle explicite dans policy/filtering? |
Oui et même 2 règles :
161 et 162 en UDP
Ou pour faire plus simple pendant tes tests :
srvcacti any 10.67.0.30 any
10.67.0.30 any srvcacti any
Marsh Posté le 13-11-2009 à 16:12:24
Déja essayé et pas de résultat concluant
Petite précision, mon serveur cacti est sur mon reseau local a paris 10.64.0.0/16 qui est relié en vpn a un site distant en 10.67.0.0/16
J'ai une regle any any du 10.67 au 10.64 et inversement
Marsh Posté le 13-11-2009 à 16:16:35
et dans la déclaration de "srvcacti" da
Marsh Posté le 13-11-2009 à 16:28:13
j'ai fait un snmpwalk sur le 10.67.0.30 a partir d'un serveur sur le reseau 10.67.0.0/16, cela fonctionne
Marsh Posté le 14-11-2009 à 09:56:54
napo932 a écrit : j'ai fait un snmpwalk sur le 10.67.0.30 a partir d'un serveur sur le reseau 10.67.0.0/16, cela fonctionne |
Donc SNMP est ok.
napo932 a écrit : Petite précision, mon serveur cacti est sur mon reseau local a paris 10.64.0.0/16 qui est relié en vpn a un site distant en 10.67.0.0/16 |
Apriori le point qui pose soucis
Concrètement pour que cela marche il faudrait que le boitier fasse une "boucle" sur la communication : tu requête une interface (sous-entendu une carte réseau) mais sans que le paquet ne puisse la traverser ! Alors effectivement les pings fonctionnent (je crois que l'admin suite également) sur les interfaces lan à partir d'un vpn, sûrement grâce à un mécanisme de loopback interne ?! Mais j'aurais tendance à dire que c'est une exception et que ça ne devrait même pas fonctionner ...
Je mon avis perso (qui est peut-être faux hein, c'est mon ressenti ) pour que ça fonctionne il faudrait soit :
- voir avec le support ou un vrais Linuxien comment une interface peut répondre sans être traversé, peut-être en la faisant passer pour loopback. Quel fichier à modifier / commande à lancer ? Quel risque sur la réaction du boiter en prod ?
- activer le SNMP sur l'interface publique, du coup sans bénéficier du vpn et donc nécessairement un SNMP secure (v3 par ex).
En espérant avoir pu te donner quelques pistes.
Marsh Posté le 10-11-2009 à 11:03:24
Bonjour,
Nous venons de remplacer nos firewall checkpoint (trop chers) par des netasq
Question: Comment faire pour monitorer un firewall netasq avec cacti?
J'ai bien activer snmp dans les services du netasq par contre un snmpwalk sur l'interface LAN 10.67.0.30 à partir du serveur cacti tombe en timeout...
Le serveur cacti monitore bien tout les équipements derriere le netasq sur l'interface LAN 10.67.0.0/255.255.0.0
Des idées?
Merci