【问题标题】:SNMP SET with ACL and Set Community Name带有 ACL 的 SNMP SET 和设置团体名称
【发布时间】:2008-09-29 17:37:52
【问题描述】:

我需要在网络中的打印机中执行 SNMP Set 操作,该打印机配置为访问控制列表 (ACL),并且我的主机的 IP 地址不在 ACL 表中。 我遇到了一个奇怪的行为:当我配置了 SNMPv1 集社区名称时,如果我的主机 ip 在 ACL 表中,我只能执行 SNMP 集。如果没有配置 SNMPSet 团体名称,即使我的 ip 地址不在 ACL 表中,我也可以正常执行 SNMP Set。 那么,有谁知道 ACL 表和 SNMP Set 社区名称之间是否有任何关系?我的意思是,只有在配置了设置的社区名称时,ACL 才“工作”。这有意义吗?

感谢您的帮助

【问题讨论】:

  • 您确定没有发送社区名称吗? Wireshark 显示什么?另外,社区名称是明确发送的,对吗?你甚至需要 ACL 吗?

标签: acl snmp


【解决方案1】:

ACL 在打印机本身上。我们通过网络连接,打印机位于另一个子网中。 ACL 仅包含一个条目,并且没有阻止规则。 问题本身与 SNMP Set Community 本身相关的行为有关,我想了解它们之间是否存在任何关系。

【讨论】:

  • 如果您的 SNMP 管理器和打印机 SNMP 代理在不同的子网中,则可能是介于两者之间的设备(例如路由器)正在将 SET SNMP 数据包源 IP 地址更改为自己的。如果是这种情况并且 ACL 允许此设备的 IP 地址,则可以解释此行为。与基于社区名称的 ACL 相比,基于 IP 地址的 ACL 不是那么安全(但请记住使用复杂的名称)
【解决方案2】:

那么 ACL 是在本地路由器上还是在打印机本身上? 它是什么型号的打印机,您如何连接到它,您是在同一个网络上还是通过路由器到达位于不同网络范围内的打印机?

我会检查完整的 ACL 列表,因为可能存在阻止您访问 atm 的所有规则。

【讨论】:

    【解决方案3】:

    据我所知,这样的 ACL 不是 SNMP 的默认部分,其功能可以由供应商更改。

    就像您的测试显示的那样,这可能是一个安全漏洞。考虑将此问题报告给供应商。如果他们有修复,他们会发送给您。

    【讨论】:

      猜你喜欢
      • 1970-01-01
      • 2011-03-17
      • 2020-01-24
      • 1970-01-01
      • 1970-01-01
      • 2021-04-20
      • 2020-05-23
      • 2017-09-13
      • 1970-01-01
      相关资源
      最近更新 更多