cacti 的udp ping和iptables的问题

robotyan

我在centos5上配置cacti 0.8.6j，显示图表都没有问题，如果我把poller Host Availability Settings中的Downed Host Detection改为：Ping and SNMP，Ping Type为UDP ping，那么我对另外一台server的监控就会down掉

我在被监控机上打开iptables的33439端口（根据lib/ping.php里面写的端口，而且iptables没有打开前，记录了cacti发过来的一个udp DTP=33439的包），但是cacti还是认为这台机器down掉了，我看cacti的log（debug模式）显示：
CMDPHP: Poller[0] Host[3] PING: default
CMDPHP: Poller[0] Host[3] SNMP: SNMP not performed due to setting or ping result.

我试着关掉cacti所在机器的iptables，这次cacti就能正常工作了！
很奇怪，cacti对udp ping的操作到底是怎么做的，我不清楚，这样我无法在cacti所在server的iptables上加对应的rule，我试着加上：
-A INPUT -p udp -m state --state NEW,ESTABLISHED --sport 33439 -s 192.168.0.10 -j ACCEPT

但还是不行，另外我的iptables的日志对cacti的udp ping 操作是没有任何记录的，如果返回的包被drop我的log是应该记录的

有没有人知道如果在cacti这边设置iptables让udp ping可以使用的？

我还是不明白udp ping发送包到被监控机器的33439端口，被监控机应该没有任何服务在监听这个端口，这样的ping能返回什么包呢？

5iwww

ping没有端口 我觉得还是你的iptables的规则的问题 必须要开iptables吗？

robotyan

internet上的server，当然要开防火墙。
我的防火墙的默认规则是，input drop，其他都是accept，说来说去还是cacti发出的udp ping的包是需要返回信息的，现在的问题是返回的包被drop了但是iptables却又不显示。
我加了
-A INPUT -p tcp -m state --state ESTABLISHED,RELATED -j ACCEPT
-A INPUT -p udp -m state --state ESTABLISHED,RELATED -j ACCEPT
就是为了接受已经建立的连接的相关连接，可还是不好使！

robotyan

问题终于解决了，还是iptables的规则有问题，要加上A INPUT -p icmp -m state --state ESTABLISHED,RELATED -j ACCEPT

以前我对相关连接只是打开tcp和udp，忘了打开icmp了，结果这次碰到cacti使用udp ping，就是发送一个udp到对方的高端口，然后对方自动产生并返回一个icmp的包，cacti如果收到这个包，就会再次发送snmp的请求过去，对方收到后返回对应的数据。

只能说我接触的少，对这方面理解好不够！！

我是用tcpdump看到的icmp的信息的，
tcpdump host 192.168.0.11 and 192.168.0.10

14:18:34.423454 IP demo2.1028 > demo.33439: UDP, length 27
14:18:34.424331 IP demo > demo2: ICMP demo udp port 33439 unreachable, length 63
14:18:36.985281 IP demo2.1028 > demo.33439: UDP, length 27
14:18:36.986240 IP demo > demo2: ICMP demo udp port 33439 unreachable, length 63
14:18:39.423301 arp who-has demo tell demo2
14:18:39.423324 arp reply demo is-at 00:0c:29:7b:19:84 (oui Unknown)

看到这些，我才到iptables中专门给icmp做log（以前只懂得给被drop的tcp和udp生成log），cacti再次check的时候就可以清楚的看到一个相关联的icmp包的流转

还是要谢谢 5iwww 了！ 他说的也对啊，ping是没有端口的。