今年晚些时候我需要在美国部署大约一千台机器。我希望使用 SNMP 来监控它们(集体和个体)的状态。整个区块将通过 OpenVPN 连接,所以我希望有一种方法可以限制 SNMP 对该网络的访问。
到目前为止我发现的唯一设置是使用:
rocommunity <社区名称> 10.20.0.0/16
其中 10.20.xx.xx 是 VPN。
我没有定义任何其他用户或社区。这样就够了吗?
答案1
如果您只使用完全可配置的 Net-SNMP 客户端,则应该就足够了,但我会添加 IPtables 规则作为额外措施,以彻底阻止来自其他网络的 SNMP 传输。
还要注意,在许多嵌入式系统上,您无法以这种形式配置允许的网络,因此如果您的网络中存在类似情况,则需要考虑到这一点。