今年晚些时候,我需要在美国部署大约1000台机器。 我希望使用SNMP来监视他们(集体和个人)的状态。 整个块将通过OpenVPN连接,所以我希望有一种方法来限制对这个networking的SNMP访问。
到目前为止我发现的唯一的设置是使用:
rocommunity <社区名称> 10.20.0.0/16
其中10.20.xx.xx是VPN。
我没有定义任何其他用户或社区。 这会足够吗?
如果只使用完全可configuration的Net-SNMP客户端,这应该足够了,但是我会添加IPtables规则作为额外的措施来阻止来自其他networking的SNMP传输。
另外请注意,在许多embedded式系统中,您不能以此格式configuration允许的networking,因此如果您的networking中有类似情况,则需要考虑这一点。