В последнее время у нас были проблемы с плохими серверами, изрыгающими ловушки и наводняющими наш сервер ловушек SNMP.
Сервер ловушек SNMP работает под управлением Solaris 10 без установленного межсетевого экрана. Я хотел бы знать, есть ли в базовой сборке Solaris 10 какая-либо функция (извините, я понимаю, что это расплывчатое описание), которая может использоваться, чтобы позволить мне настроить ее для удаления UDP 162 с хоста, если я идентифицирую наводнение
Причина, по которой я ищу это решение, заключается в том, что 1) владелец устройства изо всех сил пытается остановить наводнение даже при отключенной службе SNMP и удалении адресатов ловушек SNMP из конфигурации (я не могу получить доступ к системе для дальнейшего исследования) 2) на получение изменений брандмауэра уходит несколько недель, поэтому этот процесс на самом деле недостаточно гибок для моих требований (я гонюсь за изменением политики по этому поводу в моей организации ...)
Большое спасибо за любую помощь
У меня нет большого опыта работы с Solaris 10, но я думаю, что у вас есть IPFilter, который является брандмауэром в стиле pf в Solaris 10, как часть ОС по умолчанию. Вы хотите изменить /etc/ipf/ipf.conf и добавить такое правило, как:
block in quick proto udp from 172.16.1.11/32 port 162
Вы можете найти больше инструкций на http://www.homepage.montana.edu/~unixuser/031705/create_solaris_ipf.html
Если это невозможно, вы всегда можете обнулить серверы, которые вы не хотите, чтобы ловушки достигли:
route add -host 10.10.0.1 127.0.0.1 -blackhole