Mrtg stats med flere routere ?

vi kan ikke bruge din demostat til meget

men mit gæt er at hans router ikke accepterer udefrakommende snmp.. det er næppe Debian der er problemet.

Spørmålet står under rubrikk Debian og så dreier det seg om en trafikkmonitor som kjører på en freebsd  ?? Hvodan er det hele koplet opp, dvs Cisco modem pluss den eller de to PC det dreier seg om ? Og hvor befiner den venns router seg, et sted der ute på internett ??

Har litt problememer med husken, men snmt er ikke det en ren lan protokoll som ikke kan fremsendes eller routes pr internett ?? (I så fall så forklarer jo det saken.)(Slett ikke sikker på om jeg husker rett.)

http://people.ee.ethz.ch/~oetiker/webtools/mrtg/mrtg.html
http://www2.rad.com/networks/1995/snmp/snmp.htm

Den maskin som logger trafikk via mrtg, kjører den på lan siden av Cisco 677 modemet ??

Mulig at jeg tar feil og blander med noe helt annet:
http://www.net-faq.dk/faq.pl?get=snmp

Den er en del av tcp-ip protkollene (altså routbar)..
http://www.perfman.com/site_pages/pdfs/NetworksNewsletterArticle.pdf
Det kunne vel godt dreie seg om et firewall eller nat problem. Vil forsøke å undersøke litt.

http://www.cisco.com/warp/public/110/pixsnmp.html

http://www.pantherdig.com/snmpfaq/
http://www.freshwater.com/support/notes/noteTN10024.htm

Kan være jeg skal åbne port 162 udp på hans router eksempel:

set nat entry add "router-ip" 162 "wan-ip" 162 udp

Måske det hjælper, det må jeg teste når jeg engang har fri imorgen tidlig

Jo, det hadde vært meget hyggelig og interessant å finne ut av denne problemstillingen. Ser for eksempel at boken TCP/IP Unleashed har to hele kapittler bare om dette, kapittel 41 og 42. Forsøker å finne litt ut av det her.

Det ville hjelpe en hel del dersom su laget en litt mere grundig beskrivelse av ditt nettverks/internnett oppsett.

Det dreier seg primært om en freebsd web server som også kjører mrtg programvaren, og det hele er koplet opp mot internett via cisco 677. Er det slik ??

(Brukte på et tidligere tidspunkt både freebsd og cisco 677.)

Jo min server er FreeBSD og kører bag en cisco 677 router, min vens router er også en cisco 677?

Linken øverst i spørsmålet den er ti din egen server ?
Vil du tillate en "venligsinnet" portscan i løpet av morgendagen ??
(Cisco 677 har vel ingen logg der en slik scanning havner så vidt jeg husker. Har man firewall med logg så løper det fort opp i noen hundre entries, og det kan jo kanskje skape litt bekymring hvis man ikke vet hva som eventuelt har skjedd. Tror at du i dette tilfellet ikke vil merke noen ting til at scanning har blitt gjennomført.)
Hensikt: Å se hva som i øyeblikket står åpent ut fra Ciscoen.

Det er desvære ikke okay, da jeg tager portscanning som en avorlig ting, hvis du dog oplyser den ip du vil gøre det fra, så jeg ved det er det okay du foretager en scanning af min router, dog kan jeg selv udfører en scanning om så komme med resultatet her på siden?

Kan du legge ut en mail adresse så sender jeg ip. Min mail adresse (for dette bruk) er arne2000@mail.com

Scanning kan foretas på en del forskjellige måter og den bør vel i dette tilfellet skje fra en posisjon fra inernett. Jeg kan/vil bokstavelig talt sende deg både navn og adresse. Det skjer nok ingen ting galt :-)

Scannet en annen Cisco 677 i stedet. Kunne ikke finne noen mystiske porter som sto åpne.

Det kan vel være snakk om 2 spørsmål i denne sak:

1. Måler du egentlig trafikken på Cisco modem / router, eller er det i virkeligheten trafikken på FreeeBSD maskinen du måler. (I forhold til det ene nettverkskort så vil jo denne være ganske lik.)

2. Kan den protokoll det er snakk om routes eller kan den ikke ?

Fra TCP/IP unleashed, 3 edit, side 954:

Configuring SNMP on Unix

.......

The format of the SNMP statement is:

snmp yes | no | on | off

This command controls wheather gated registers information with the SNMP daemon. SNMP is not a routing protocol and is not started by this command. You must run SNMP software independently. This statement only controls wheather gated keeps the management software apprised of its status.

..is not a routing protocol .. hva skal nå dette egentlig bety ??

Hacking exposed, 3'rd edit side 449. Her står snmt omtalt. Beskrives som et redskap for kontroll av routere og andre network devices. Det advares mot å route snmp via internett av sikkerhetsmessige grunner.

Robert L Ziegler: Linux Firewalls, Second edition, side 70.

Det advares mot å la snmp kommunisere via internett. Firewall må stanse all slik trafikk.

Zwicky, Cooper, Chapman: Building internet Firewalls, 2'nd edit, side 632 og videre utover.

Her fant jeg den mest utdypende forklaringen. Det står at snmp fungerer ut fra et klient server prinsipp. Da må eventuelt cisco 677 ha en serverfunsjon i forhold til snmp, og det er vel ingen ting som tyder på at det er tilfellet (?). (Scanning tydet i hvert fall ikke på det.)

Det beskrevet at port 161 og port 162 kan være i bruk og at det kun er snakk om UDP protokoll. (Og derfor så blir den vel også routbar via internett.)

Denne boken advarer også mot å la snmp kommunisere via internett.

Konklusjon/svar:

snmp er en måte/teknologi for å kontrollere routere og andre nettverksenheter forutsatt at de har implementert en slik mulighet. Når det gjelder Cisco 677 så er det lite trolig at den har denne muligheten (Fordi den i utgangspunktet ikke er laget for å fungere i store komplekse nettverk.)

Den graf som genereres i dag genereres sannsynligvis ved å monitore trafikk på ekstern nettverksadapter på FreeBSD maskinen.

Det er sannsynlig at det ville være teknisk mulig også å monitore en annen FreeBSD remoote via internett. I så fall så måtte man forwarde UDP port 161 og eventuelt UDP port 162.

Ulike bøker innefor fagliteraturen advarer imidlertid mot dette, av sikkerhetsmessige grunner.

Udp, kan, men den er ikke designet rent sikkerhetsmessig for å kommunisere via internett.

Defor så bør firewalls i nettverk der snmp er i bruk alltid stanse denne trafikken til/fra internett, dvs UDP port 161/162.