Network Monitor

Forum dedicato agli studenti del corso linux e a tutti gli amanti del pinguino!

Moderatore: matteo

Network Monitor

Messaggioda meihua » dom mag 07, 2006 8:00 pm

ciao,
volevo chiedervi un suggerimento in merito.

da una rete remota vorrei abilitare un controllo via icmp per pingare un router a cui e' collegata una adsl di un ufficio e accertarmi quando eventualmente questa va' down per attivare un sistema di allarme.

so che esiste un software che siama "gfi network monitor" che abilita un controllo icmp via ping appunto ed eventualmente puo' inviare una notifica all'amministratore di sistema. esiste qualcosa del genere freeware?

poi eventualmente posso essere piu' chiara facendo un disegno oppure quando ci vediamo a lezione.

saluti
tiz'
meihua
 
Messaggi: 36
Iscritto il: sab mar 18, 2006 4:51 pm

Re: Network Monitor

Messaggioda matteo » dom mag 07, 2006 8:36 pm

meihua ha scritto:da una rete remota vorrei abilitare un controllo via icmp per pingare un router a cui e' collegata una adsl di un ufficio


uhmm. Credo che ci sia un problema tecnico, indipendentemente da quale software vuoi usare.
Il router che vuoi pingare (da casa suppongo) molto spesso ha un firewall interno che blocca il ping, ed in ogni caso dubito altamentente che tu possa pingare qualcosa dietro il router (questi apparati sanno forwardare il tcp e l'udp e basta).
Comunque io non conosco software, ma se il router ha l'icmp aperto e ti basta pingare quello, credo che posso darti questo:

Codice: Seleziona tutto
while true;do
    ping -c 2 192.168.0.1 >/dev/null
    [ $? -ne 0 ] && echo "ALLARME: Non si pinga più" | mail -s "Alert test ping" mia@email
    sleep 60
done


Se vuoi lanciarlo come daemon ci metti un "nohup " prima di while e un "& " dopo done

Più OpenSource* di così?

Matteo

(*) Occhio che OpenSource non è l'equivalente di gratis, per cui qui ci metto il Copyright© e me lo paghi 1€ al ping. :-)
matteo
 
Messaggi: 327
Iscritto il: ven mar 17, 2006 10:22 am

Messaggioda meihua » lun mag 08, 2006 9:36 am

ciao matteo,
ebbene si il router ha dietro di se un firewall che è gestito da una macchina su cui è montata fedora e in effetti è tutto disabilitato per sicurezza, però so che si può sbloccare per ICMP visto che hanno questa esigenza.

la soluzione dello script è interessante, Sabato mattina abbiamo studiato gli script ed io ne ho scritto uno proprio sul ping (piu' banale ovviamente :P

sicuramente posso provare nel frattempo la tua soluzione, però in ogni caso mi hanno chiesto di pensare ad un software specifico (che faccia anche da network monitor)

magari provo a mettere un post sul ng it.comp.linux.iniziare e vediamo se qualcuno ha interessanti suggerimenti.

a mercoledì (se non ci sono variazioni).
grazie ancora meihua
meihua
 
Messaggi: 36
Iscritto il: sab mar 18, 2006 4:51 pm

Messaggioda matteo » lun mag 08, 2006 9:18 pm

meihua ha scritto:ciao matteo,
ebbene si il router ha dietro di se un firewall che è gestito da una macchina su cui è montata fedora e in effetti è tutto disabilitato per sicurezza, però so che si può sbloccare per ICMP visto che hanno questa esigenza.

Uhmmm,
le cose si complicano. Tu hai la tua fedora fa da firewall. In più però avrai sicuramente un router che ti spara su internet; il problema è su questo e non sulla fedora in cui per aprire una porta basta una riga, sul router no.

Matteo
matteo
 
Messaggi: 327
Iscritto il: ven mar 17, 2006 10:22 am

Messaggioda meihua » mar mag 09, 2006 9:07 am

ciao,
dunque si la fedora fa da firewall ed ha delle regole di iptables ed altro (che non conosco e vorrei studiare) che abilitano solo alcune porte per tutta la rete privata qualcosa del tipo (vado a memoria):

permit 10.0.0./24 porta 21
permit 10.0.0./24 porta 22
etc. etc.

in effetti ho cercato di capire di cosa hanno bisogno e praticamente il router (che posso gestire senza problemi perchè è un cisco) non ha alcuna regola di nat, access-list etc. etc. fa solo da default-gateway per il firewall e per tutta la lan. non è lui quindi il mio problema.

la criticità è invece su alcuni server che sono dietro al firewall e che sono nattati in pubblico quindi hanno abilitata la porta 80 ma sono protetti contro ICMP.
mi interessa quindi abilitare il ping da un IP sorgente (conosciuto ed abilitato a passare dal firewall) verso uno o piu' IP di destinazione che ospitano i servizi critici (che sono appunto quelli nattati e protetti dal firewall).

quindi pur se non conosco ip tables e via discorrendo, almeno sui router e sui firewall (pix, checkpoint etc.) so che si possono applicare delle acl che permettono certe operazioni ossia

permit ipsorgente protocollo/porta verso ipdestinazione protocollo/porta

in questo modo abilito un IP remoto che conosco a fare ping sui server critici e non c'è il rischio che IP sconosciuti possano pingare questi server

poi per il controllo di connettività ho verificato che c'è l'IP pubblico del router che si può pingare senza restrizioni percui questa è risolta.

meihua
meihua
 
Messaggi: 36
Iscritto il: sab mar 18, 2006 4:51 pm

Messaggioda matteo » mar mag 09, 2006 10:13 am

Non è che ci ho capito un granché.
Comunque ricorda che da esterno potrai pingare una ed una sola macchina interna, decisa dal router probabilmente e non dal firewall. Il firewall dovrà aggiungere una regola di instradamento del protocollo icmp che però non ti so scrivere perchè dipende dalla politica adottata e dalle regole attualmente presenti. Inoltre non mi è ancora totalmente chiara la struttura della rete.
Considera comunque che i software di monitoring seri non utilizzano il ping per innummerevoli motivi, bensì adottano il tcp o l'snmp.
La struttura che stai implementando tu tenta di vedere solamente se UNA macchina è accesa o spenta, senza controllare se i servizi che erogano siano funzionanti o meno.
Se vuoi qualcosa di più serio e flessibile, il tuo software non deve essere installato sulla tua workstation, ma sulle singole macchine da monitorare, il quale provvederebbe ad inviare ogni 5 minuti il proprio stato di salute (servizi attivi o non attivi, estratto dei log per la ricerca di componenti hw guasti ecc) alla tua workstation. Ovviamente quando non vedi ricevere il proprio stato di salute, allora significa che la macchina è morta. Con un software del genere non è necessario aprire nessun firewall (almeno in ingresso; se fatto bene nemmeno in uscita, oltre a quello che già hai).

In questo tempo, al corso, stiamo cominciando a studiare gli script ed i primi servizi con test di funzionamento (ps e netstat). Questa è una buona occasione per mettere insieme tutto quello che stiamo imparando, per arrivare ad una applicazione concreta, tutti insieme, per generare un software da portare come tesina finale del corso. Questo si chiama "scripting applicato alle realtà".

Ne parlavamo giusto questa mattina io e Francesco. Noi vi stiamo dando i mattoncini del lego, ognuno di colore e forma diversa. A voi il compito di incastrarli l'uno con l'altro per ottenere il vostro giocattolo preferito.

Vi va?

Matteo
matteo
 
Messaggi: 327
Iscritto il: ven mar 17, 2006 10:22 am


Torna a Unix, Linux & reti

Chi c’è in linea

Visitano il forum: Nessuno e 2 ospiti

cron