+7 495 320-55-52
- Назад
- Телефоны
- +7 495 320-55-52
- Заказать звонок
info@mikrotik.moscow
г. Москва, ул. Бакунинская, 84
Пн-Пт: 09-00 до 18-00
Сб-Вс: выходной

Откройте порты SNMP и Syslog

Откройте порты SNMP и Syslog, RouterOS

6BAdmin

Guest

05.11.2017 19:56:00

Я новичок в Winbox, но думаю, скоро войду в курс дела. SNMP на роутере/фаерволе включён, но доступа нет. Mikrotik-коммутаторы включены и работают. С Syslog то же самое: кажется, включён, статус показывает растущее количество строк, но файлов логов нет. Traffic Flow версии 9, я успешно использую ManageEngine firewall analyzer с другими фаерволами. Буду благодарен за помощь, заранее спасибо. — Джон

6BAdmin

Guest

20.11.2017 17:48:00

Спасибо ещё раз за помощь. Я только что получил эту сеть, так что на ответы на вопросы может понадобиться немного времени.

/snmp set contact="IT Support" enabled=yes trap-target 0.0.0.0 trap-version=2

/ip firewall filter add action=drop chain=input comment="Отбросить Invalid" connection-state=invalid
add action=drop chain=input comment="Отбросить IP из черного списка" src-address-list=Blacklist
add action=drop chain=forward comment="Отбросить IP из черного списка" src-address-list=Blacklist
add action=accept chain=input comment="Принять Established" connection-state=established
add action=accept chain=input comment="Принять Related" connection-state=related
add action=accept chain=input comment="Принять ICMP" protocol=icmp
add action=accept chain=input comment="Принять внутреннее управление" in-interface=ether2_LAN
add action=accept chain=input comment="Принять внутреннее управление" in-interface=ether3_Wireless_Link_SO
add action=accept chain=input comment="Принять внутреннее управление" in-interface="Voice VLAN"
add action=accept chain=input comment="Принять внутреннее управление" in-interface="Public WiFi VLAN"

add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список сканеров портов" protocol=tcp psd=21,3s,3,1
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список сканирования NMAP FIN Stealth" protocol=tcp tcp-flags=fin,!syn,!rst,!psh,!ack,!urg
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список SYN/FIN сканирования" protocol=tcp tcp-flags=fin,syn
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список SYN/RST сканирования" protocol=tcp tcp-flags=syn,rst
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список FIN/PSH/URG сканирования" protocol=tcp tcp-flags=fin,psh,urg,!syn,!rst,!ack
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список ALL/ALL сканирования" protocol=tcp tcp-flags=fin,syn,rst,psh,ack,urg
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=2w chain=input comment="Черный список NMAP NULL сканирования" protocol=tcp tcp-flags=!fin,!syn,!rst,!psh,!ack,!urg

add action=accept chain=input comment="Принять GRE" protocol=gre
add action=accept chain=input comment="Принять IPSEC-ESP" protocol=ipsec-esp src-address-list=IPSEC

add action=add-src-to-address-list address-list=Blacklist address-list-timeout=1w chain=input comment="Черный список SSH" dst-port=22 in-interface="ether1_WAN T1" protocol=tcp
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=1w chain=input comment="Черный список SSH" dst-port=22 in-interface=pppoe-out1 protocol=tcp
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=1w chain=input comment="Черный список DNS снаружи" dst-port=53 in-interface="ether1_WAN T1" protocol=udp
add action=add-src-to-address-list address-list=Blacklist address-list-timeout=1w chain=input comment="Черный список DNS снаружи" dst-port=53 in-interface=pppoe-out1 protocol=udp

add action=accept chain=input comment="Принять DHCP" protocol=udp src-port=67-68
add action=accept chain=input comment="Принять DHCP" dst-port=67-68 protocol=udp
add action=accept chain=input comment="Принять SNMP" dst-port=161 protocol=udp
add action=accept chain=input comment="Принять NTP" dst-port=123 protocol=udp

Feklar Guest	#3 0 21.11.2017 17:51:00 Проверьте настройки SNMP community. У вас указаны только настройки trap, по умолчанию, насколько я понимаю, сообщество установлено как public. Вы видите правило файрвола, которое у вас настроено для приращения SNMP?

6BAdmin Guest	#4 0 21.11.2017 18:28:00 Сообщество по умолчанию — публичное 0.0.0.0/0 с правами только на чтение. Для включения SNMP требуется указать цель ловушки, я ввёл 0.0.0.0. Количество байт и пакетов в SNMP-файрволе равно нулю. Спасибо ещё раз.

6BAdmin

Guest

21.11.2017 19:20:00

Я могу сделать MIB walk. Использую приложения Spiceworks, OpManager и Solarwinds NPM. Ни одно из них не может сканировать через SNMP.

MIB OID Имя Значение
SNMPv2-MIB 1.3.6.1.2.1.1.1.0 sysDescr.0 «RouterOS CCR1016-12G»
SNMPv2-MIB 1.3.6.1.2.1.1.2.0 sysObjectID.0 1.3.6.1.4.1.14988.1
SNMPv2-MIB 1.3.6.1.2.1.1.3.0 sysUpTime.0 69309200
SNMPv2-MIB 1.3.6.1.2.1.1.4.0 sysContact.0 «IT Support»
SNMPv2-MIB 1.3.6.1.2.1.1.5.0 sysName.0 «FW»
SNMPv2-MIB 1.3.6.1.2.1.1.6.0 sysLocation.0
SNMPv2-MIB 1.3.6.1.2.1.1.7.0 sysServices.0 78
IF-MIB 1.3.6.1.2.1.2.1.0 ifNumber.0 15
IF-MIB 1.3.6.1.2.1.2.2.1.1.1 ifIndex.1 1

Feklar

Guest

22.11.2017 15:52:00

Если вы можете выполнить walk off на том же сервере, и SpiceWorks успешно получает данные, значит OpManager и Solarwinds должны работать точно так же. Я бы проверил список адресов в вашем файрволе, чтобы убедиться, что эти серверы не сработали на автоматические правила блокировки, которые у вас настроены.

Jotne Guest	#7 0 23.11.2017 06:19:00 Включите ведение логов для всех правил файрвола, затем посмотрите журнал, когда попробуете получить доступ к SNMP, и проверьте, есть ли там какие-то записи.

6BAdmin Guest	#8 0 28.11.2017 21:44:00 Я отпишусь, если что-то выясню. Я поднял приоритет политики фаервола SNMP на самый верх. Все коммутаторы Mikrotik работают с SNMP. Только маршрутизаторы пока не поддерживают. Я в тупике.

Читают тему

Главная Каталог 0 Корзина 0 Избранные Кабинет 0 Сравнение Акции Контакты Услуги Бренды Отзывы Компания Лицензии Документы Реквизиты Поиск Блог Обзоры