我们最近遇到了一些问题,一些恶意服务器会发出陷阱并淹没我们的 SNMP 陷阱服务器
SNMP Trap 服务器运行的是 Solaris 10,没有安装防火墙。我想知道在基本 Solaris 10 版本中是否有任何功能(抱歉,我意识到这是一个模糊的描述),可用于允许我将其配置为在发现洪水时从主机中删除 UDP 162
我寻求此解决方案的原因是 1)即使 SNMP 服务处于离线状态并且从配置中删除了 SNMP 陷阱目标,设备所有者仍在努力阻止洪流(我无法访问系统进行进一步调查)2)获取防火墙更改需要数周时间,因此该过程对于我的要求来说不够灵活(我正在组织内追逐这方面的政策变化......)
非常感谢你的帮助
答案1
我对 Solaris 10 没什么经验,但我认为您有 IPFilter,它是 Solaris 10 中类似 pf 的防火墙,是默认操作系统的一部分。您需要修改 /etc/ipf/ipf.conf 并添加如下规则:
block in quick proto udp from 172.16.1.11/32 port 162
您可以在此处找到更多说明http://www.homepage.montana.edu/~unixuser/031705/create_solaris_ipf.html
如果这不可能的话,您可以随时对不希望陷阱到达的服务器进行空路由:
route add -host 10.10.0.1 127.0.0.1 -blackhole