Salve,

Am Pazar 25 Kasım 2007 10:23:23 schrieb Luca Bertoncello:

Das Problem ist, daß der "Überwachungsserver" eine dynamische IP hat und in nrpe.conf muß ich sagen, von welche IP ich die Verbindung akzeptieren soll. Ich habe selbstverständlich probiert einen DynDNS-Name dort zu schreiben, geht aber nicht (in der Log sehe ich, daß Nagios die Verbindung von der IP nicht erlaubt).

Zumindest im Code von Nagios ist es vorgesehen, dass Domainnamen verwendet werden können. Dann muss aber auch die Reverse-Auflösung funktionieren, weil die IP-Adresse des Clients in einen Namen umgewandelt wird (und nicht, wie man evtl. denkt, die Hostnamen in allowed_hosts in IP-Adressen, was mehr DNS-Abfragen erzeugen würde). In deinem Fall kommt da sicher ein Hostname `a la foo-1234.provider.de raus.

Ich habe auch die Idee gehabt, dem nrpe zu sagen, daß es von allen IPs die Anfragen akzeptieren soll, und dann mit iptables kann ich die Anfrage begrenzen, ich habe aber nicht geschafft es zu machen (ich habe die Option gelöscht und auch mit 0.0.0.0/0 gesetzt: nrpe meckert immer daß die Konfiguration falsch ist).

0.0.0.0 bringt nichts, da tatsächlich nur die Zeichenkettendarstellungen der IP-Adressen verglichen werden, ohne jegliche IP-Adressmasken-Semantik.

Das Feld leerzulassen funktioniert aber (gerade bei einer eigenen Installation getestet). Du musst nach einer Änderung nur ein 'restart' des Servers durchführen, da ein 'reload' (ein HUP-Signal) nichts bewirkt. Das ist in der Tat etwas abseits der Norm.

Der gesamte Prüfcode ist sehr IPv4-lastig. Da ohnehin SSL verwendet wird, sollte man die Prüfung besser mit Client-Zertifikaten durchführen anstatt sich auf IP-Adressen festzulegen. Vielleicht kannst du das ja mal als Wunsch an die Nagios-Entwickler herantragen.

Josef