Ik ben bezig met de configuratie van access-lists op een van onze routers.
Hierbij maak ik gebruik van reflective access-lists.
Door deze router monitor ik een aantal 2000 en 2003 servers mbv snmp.
Na het activeren van de access-lists op de interfaces krijg ik problemen met de 2003 servers.
Het lijkt alsof deze zelf een connectie willen initiëren van poort 161 naar de snmp server op een willekeurige poort.
*Feb 17 11:06:18.289: %SEC-6-IPACCESSLOGP: list BEHEER_SEC_OUT denied udp 172.30.5.101(161) -> 192.168.110.51(4700), 1 packet
Dat lijkt me sterk, en de windows 2000 servers geven ook geen probleem, dus leek het mij dat de snmp verbinding te lang duurt waardoor de timeout verstrijkt en de tijdelijke reflective access-list wordt verwijderd.
Echter als ik kijk op de cisco site :
http://www.cisco.com/univ...rt3/screflex.htm#xtocid21
Staat daar een default timeout van "The global timeout value is 300 seconds by default. ".
Dat klopt dus niet met mijn veronderstelling ?
Om het te testen heb ik de timeout veranderd naar 120. Dit gaf geen resultaat.
Het lijkt er dus op dat Windows 2003 anders met SNMP omgaat ?
Kan iemand mij hier wat meer over duidelijk maken ?
Ik kan het oplossen door een extra access-list regel te maken voor snmp maar dat heb ik natuurlijk liever niet.
Hierbij maak ik gebruik van reflective access-lists.
Door deze router monitor ik een aantal 2000 en 2003 servers mbv snmp.
Na het activeren van de access-lists op de interfaces krijg ik problemen met de 2003 servers.
Het lijkt alsof deze zelf een connectie willen initiëren van poort 161 naar de snmp server op een willekeurige poort.
*Feb 17 11:06:18.289: %SEC-6-IPACCESSLOGP: list BEHEER_SEC_OUT denied udp 172.30.5.101(161) -> 192.168.110.51(4700), 1 packet
Dat lijkt me sterk, en de windows 2000 servers geven ook geen probleem, dus leek het mij dat de snmp verbinding te lang duurt waardoor de timeout verstrijkt en de tijdelijke reflective access-list wordt verwijderd.
Echter als ik kijk op de cisco site :
http://www.cisco.com/univ...rt3/screflex.htm#xtocid21
Staat daar een default timeout van "The global timeout value is 300 seconds by default. ".
Dat klopt dus niet met mijn veronderstelling ?
Om het te testen heb ik de timeout veranderd naar 120. Dit gaf geen resultaat.
Het lijkt er dus op dat Windows 2003 anders met SNMP omgaat ?
Kan iemand mij hier wat meer over duidelijk maken ?
Ik kan het oplossen door een extra access-list regel te maken voor snmp maar dat heb ik natuurlijk liever niet.
/u/38159/DirkJan.png?f=community)