Para poder monitorizar los dom0 mediante SNMP hay que habilitar las reglas de iptables y poco más. Esto es lo que he aplicado a diferentes servidores dom0 citrix XenServer para poder monitorizarlos con Cacti. No he necesitado ningún plugin adicionar para tener una monitorización básica, cpu, memoria, redes... Básicamente lo que me interesa es ver el trafico de red que tienen estas maquinas. Bueno sin más preámbulos...
Editamos el fichero /etc/sysconfig/iptables y añadimos la siguiente regla en el INPUT: -A RH-Firewall-1-INPUT -p udp --dport 161 -j ACCEPT
Reiniciamos iptables:
service iptables restart
Activamos el snmp para que arranque atumáticamente:
chkconfig snmpd on
Por defecto la config que trae snmp nos muestra el system view, podemos cambiarlo a all haciendo las siguiente modificación en el fichero /etc/snmp/snmpd.conf
-Añadimos la siguiente línea:
view all included .1
-Cambiamos la línea:
access notConfigGroup "" any noauth exact systemview none none
por
por
access notConfigGroup "" any noauth exact all none none
-Guardamos y reiniciamos snmpd: service snmpd restart
Para cambiar la community string de xenserver, por defecto (public) cambiamos:
com2sec notConfigUser default public com2sec notConfigUser default anything_you_need
Probado en Xenserver 5.5/5.6/5.6-FP1
Fuente: http://support.citrix.com/article/CTX122337
Esto seria una config de IPTables permitiendo snmp y conexiones de ComVault
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 8400 -j ACCEPT
-A INPUT -p tcp --dport 8401 -j ACCEPT
-A INPUT -p tcp --dport 8402 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x1 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x2 -j ACCEPT
-A INPUT -p tcp --dport 5678 -j ACCEPT
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 694 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
Fuente: http://support.citrix.com/article/CTX122337
Esto seria una config de IPTables permitiendo snmp y conexiones de ComVault
# Firewall configuration written by system-config-securitylevel
# Manual customization of this file is not recommended.
*filter
:INPUT ACCEPT [0:0]
-A INPUT -p tcp --dport 8400 -j ACCEPT
-A INPUT -p tcp --dport 8401 -j ACCEPT
-A INPUT -p tcp --dport 8402 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x1 -j ACCEPT
-A INPUT -p tcp -s 192.168.xxx.x2 -j ACCEPT
-A INPUT -p tcp --dport 5678 -j ACCEPT
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p 50 -j ACCEPT
-A RH-Firewall-1-INPUT -p 51 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 5353 -d 224.0.0.251 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m tcp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m udp -p udp --dport 694 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state NEW -m tcp -p tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp --dport 161 -j ACCEPT
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
No hay comentarios:
Publicar un comentario