SNMP Inter LAN

jdh

Il est essentiel de commencer par assurer que les machines se 'voient' : test via ping (autoriser icmp/8)

Une fois que les machines se voient, on teste le protocole cible, et au besoin on vérifie le départ et l'arrivée des paquets (nmap).

Le filtrage ne s'écrit que pour le 1er paquet : m'est avis que pour la zone avec srv : udp/161 vers LAN_(autres) suffit, car le paquet retour est automatiquement accepté.

A minima, ajouter des logs dans la règle pour voir la traversée.

fred74

Test du Ping OK dans les deux sens.
Après, nmap, je ne connais pas bien…

Tatave

Salut salut

Pour cette partie la je te conseillerais de te rapprocher d'un forum spécialisé sur la supervision ou tu pourras plus facilement apprendre et comprendre.

Celui ci http://forums.monitoring-fr.org/index.php est un forum francophone dédié à la supervision.
Une fois assimilé et compris comment faire tu pourras facilement mettre en place sur pfsense et à travers lui, le protocole nmap / snmp.

Tiens nous au courant de l'évolution de ton problème.

Cordialement.

fred74

Je connais bien le site car je m'en suis servi pour mettre en place ma solution de Monitoring.
Tout fonctionnait correctement.
J'ai changé de "machine" pour faire mon "routage et filtrage" avant j'utilisais ,https://fr.wikipedia.org/wiki/Amon_%28serveur%29 j'avais bien la communication entre mes LAN
Pour des raisons technique, je suis passé à PFSENSE et c'est là que je bloque…

Tatave

salut salut

je connais , mais ce n'est votre support académique qui gère ce machine la (slice/amont) ?

Quoi qu'il en soit celà ne depend plus de pfsense .

Con courage pour la suite.

fred74

Pardon pour la confusion, mais vous ne m'avez pas compris.
J'ai arrêté AMON pour passer à PFSENSE.
Je n'utilise plus AMON, j'utilise PFSENSE, donc plus rien à voir avec le support académique.
Et c'est donc pour cela que je suis sur le Forum PFSENSE. Pour chercher de l'aide concernant PFSENSE.
Cordialement

Tatave

Pas de soucis.

Effectivement vous êtes bien sur le bon forum ^^.

Nous pourrons vous aider, ou du moins essayer de vous aider.

fred74

Merci et désolé pour cette confusion.
J'essaie d'être le plus précis possible pour pouvoir faire avancé mon petit souci.

jdh

Test de ping OK : dans les 2 sens OK !
'Dans les 2 sens' est un peu ambigu : il est encore mieux de faire 2 tests de ping : un depuis chaque machine

Un fois cela confirmé, je suppose que le Nagios tournant sous Linux, il est alors possible de tester via une commande 'snmpwalk' pour voir ce qui est lisible depuis la machine testée.

cf un bon exemple : https://blog.cedrictemple.net/239-faire-des-requetes-snmp-en-ligne-de-commande-sous-linux

NB : je ne connais que grossièrement Nagios : j'ai fais le choix Zabbix et je ne le regrette pas (Zabbix sait faire du snmp mais agit mieux avec agent).

fred74

Pardon,

Test Ping depuis le serveur Nagios vers une machine monitorée, OK
Test Ping depuis une machine monitorée vers serveur Nagios, OK

Serveur Nagios, oui, sous Linux. Précisement je suis parti sur une base FAN. https://fr.wikipedia.org/wiki/Fully_Automated_Nagios

Le serveur Nagios fonctionne car le monitoring sur le LAN APPLI ou DMZ ( 192.168.1.0/24) me remonte toutes mes "Informations"

Je vais prendre le temps de lire cet exemple et je reviens vers vous.

fred74

Premier retour,
Je viens de finir de simuler mon réseau PRO chez moi en virtualisant celui-ci.
Donc, 3 LAN dont 1 Admin, 1 Peda, 1 DMZ.
Le serveur FAN dans la DMZ, 1 W7 dans Admin, 1 Lubuntu dans Peda, 1 Centos (serveur Web) dans la DMZ.

Tout fonctionne correctement, toutes mes remontées se font vers FAN.

J'ai mis des Rules: LAN -> any pour tous

Donc sur mon réseau PRO, c'est mes rules qu'ils faut que je corrige mais sans pour autant compromettre ma sécurité.

Bon WE @ tous

fred74

Retour PRO,
Bonjour,
Je reviens vers vous pour vous dire que tout était rentré dans l'ordre.
Toutes mes "infos" remontent de tous mes serveurs et "matériels" vers mon serveur FAN.
J'ai revu toutes mes rules, tout remis à 0.
Et surtout, et je pense que c'est de là que venait le problème, j'ai remonté toute ma configue sur mon serveur FAN et Reboot.
Et voilà, ça fonctionne.

Merci @ tous pour vos informations, @ bientôt.

Je clôture le ticket.

Tatave

Salut salut

personnellement (et d'autre) je pense que cela ne pouvait pas en etre autrement.

Ne perdez pas de vu qu'entre le monde du pingouin et celui des diablotins il y beaucoup de similitudes, mais aussi et surtout des différences dans les modes de penser.
C'est ce qui a mon avis vous à induit en erreur au départ.

Dans votre cas, vous avez sur prendre en compte les informations et les mettre en pratique pour que vous trouviez vous même la solution.
Cela n'est il pas plus gratifiant que de voir fournir la solution toute prête sans vous faire réfléchir au pourquoi du comment de vos erreurs ?

Cordialement.

fred74

Oui et c'est aussi comme cela que l'on apprend.
C'est juste aussi qu'il faut arriver à pouvoir prendre du recule pour analysé d'une autre manière. Et la petite aide qui peut donner le déclic est la bienvenue.
Merci @ tous.