请教mrtg与iptables策略冲突的问题

iamshiyu

为了监控公司的服务器流量，安装了一台rhel4的mrtg监控服务器，后来这台服务器上也装了iptables做nat服务。基本iptables策略是
iptables -P input drop
iptables -P forward drop
iptables -P output accept
当input中加入-d 外网地址后，网络外部的mrtg监控可以继续正常使用（非服务器外网ip）
当input中加入-s 内网地址后，内网地址对应的mrtg监控也可以使用。
本机上snmp修改完后（改了如下两行）
view mib2 included .iso.org.dod.internet.mgmt.mib-2 fc
access notConfigGroup "" any noauth exact mib2 none none
用cfgmaker生成cfg文件需要关掉iptables才能生成，当时并不知道哪条策略干扰了mrtg的运行。
然后发现执行env LANG=C /usr/local/mrtg-2/bin/mrtg /usr/local/mrtg-2/bin/mrtg.conf
的时候，会报错，不能生成对本机的流量监控，关掉iptables可以。
碰运气碰了很久，总算能监控了，在iptables中加的策略是
/sbin/iptables -A INPUT -i eth1 -d 外网口ip/32 -j ACCEPT #这个原本是为了防止apache失效，没想到同时导致对另外两个外网ip的mrtg监控没出问题。
/sbin/iptables -A INPUT -i eth0 -s 192.168.10.2/32 -j ACCEPT#这个是为了接受内网一台服务器的mrtg流量监控，一直也没有问题
/sbin/iptables -A INPUT -s 192.168.10.3/32 -j ACCEPT#这个是这台mrtg本机的ip，我生成cfg文件的时候也是用的这个ip。这个策略还不能指定从哪个接口进入，否则也会导致mrtg不能正常监控。
现在搞得我非常奇怪，虽然配置到最后mrtg都可以用了，但是到底mrtg和iptables之间有什么影响关系呢？
或者说snmp与iptables之间需要建立怎么样的规则才能不影响呢？

kenduest

因为你的 firewall 配置错误...

1. 
   
2. iptables -P INPUT DROP
   
3. iptables -A INPUT -i lo -j ACCEPT
   
4. iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
   
5. iptables -A INPUT ....... -j ACCEPT # allow rule
   

复制代码

这是至少要具备的配置，其中包含本机服务不设防。

==

iamshiyu

你说包含本机不设防是iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT这条规则么？
试了一下-i lo也可以对本机进行监控。

[ 本帖最后由 iamshiyu 于 2006-7-7 18:32 编辑 ]

kenduest

原帖由 iamshiyu 于 2006-7-7 18:30 发表
你说包含本机不设防是iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT这条规则么？
试了一下-i lo也可以对本机进行监控。

該敘述:

1. -m state --state ESTABLISHED

复制代码

TCP/IP 是雙向的，封包出去就會有回應。你不允許回應連入的封包，那連線怎麼會建立成功？

至於 RELATED 部分，自己看 iptables manpage 有相關說明，基本上與 ftp 會有另外開 data connection 的連線有關係，甚至與 active/passive mode 這類傳輸模式也有關係。

論壇之前有一堆這類討論，可以自己先找帖子。

==

iamshiyu

ESTABLISHED,RELATED这个我倒是知道，但是一方面以前听说有些人试图使用修改包头为已经被握手过的包攻击防火墙，另外一方面似乎iptables也有个阐述说一旦数据流建立了连接就不再走规则而是直接转发是不是？我E文不太好，或许理解的有错误，还请多多指点。另外我还是不清楚楼上说的包括了不影响本机服务的规则是哪条

[ 本帖最后由 iamshiyu 于 2006-7-8 22:08 编辑 ]

platinum

原帖由 iamshiyu 于 2006-7-8 22:01 发表
另外一方面似乎iptables也有个阐述说一旦数据流建立了连接就不再走规则而是直接转发是不是？

是，没错
这一点也可以通过 iptables -t nat -vnL 看包数量来得到答案

liuziyang

cat /etc/service|grep mrtg

kenduest

原帖由 liuziyang 于 2006-7-9 15:31 发表
cat /etc/service|grep mrtg

似乎答非所问？

1. mrtg 服务有登记于该文档 ?

2. mrtg 只是一个 client，所要存取服务是 snmp。

==

iamshiyu

那么如果我没有允许外部地址访问内部地址，是否意味着数据流的连接不能建立呢？
可是如果加了允许外部任何地址访问内部网络是否增加了不安全性？

kenduest

原帖由 iamshiyu 于 2006-7-12 09:23 发表
那么如果我没有允许外部地址访问内部地址，是否意味着数据流的连接不能建立呢？

你的问题与原本的 mrtg 设定有关系吗？

基本上你的 firewall 可以设定只有允许你的机器主动连结外面，但是不允许外面主动连结你的主机。

可是如果加了允许外部任何地址访问内部网络是否增加了不安全性？

这句话也有点抽象，本来允许外面可以存取你主机时就是增加与外界接触机会，那无形当中也可以说增加不安全性。

==