Table des matières

Les réponses

Interro surprise 1

Est-ce que ceci aurait des chances de fonctionner ?

~$ snmptranslate -Ot -Td .1.3.6.1.2.1.17.1.2.0

Pas vraiment, puisque cette branche est couverte par la MIB BRIDGE-MIB. Nous aurons donc une réponse très incomplète :

SNMPv2-SMI::mib-2.17.1.2.0
mib-2 OBJECT-TYPE
  -- FROM	SNMPv2-SMI, RFC1213-MIB
::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) 17 1 2 0 }

Et ceci :

~$ snmptranslate -Ot -Td -m /usr/share/mibs/ietf/BRIDGE-MIB .1.3.6.1.2.1.17.1.2.0

Dans ce cas, nous aurons effectivement une réponse plus explicite :

BRIDGE-MIB::dot1dBaseNumPorts.0
dot1dBaseNumPorts OBJECT-TYPE
  -- FROM	BRIDGE-MIB
  SYNTAX	Integer32
  UNITS		"ports"
  MAX-ACCESS	read-only
  STATUS	current
  DESCRIPTION	"The number of ports controlled by this bridging
        entity."
::= { iso(1) org(3) dod(6) internet(1) mgmt(2) mib-2(1) dot1dBridge(17) dot1dBase(1) dot1dBaseNumPorts(2) 0 }
Une description quasi compréhensible, ainsi que le type de réponse (Integer32) et l'unité, ici le nombre de ports. Ce paramètre est bien entendu accessible en lecture seule. Il serait en effet miraculeux que SNMP ait le pouvoir de multiplier les ports d'un switch, au grand détriment des profits des constructeurs.

Interro surprise 2

Pour rappel :

com2sec voirUnPeu     default                public
com2sec voirTout      192.168.0.0/24         private
com2sec voirEtToucher 192.168.0.16           admin

group touristes v1         voirUnPeu
group touristes v2c        voirUnPeu
group riverains v1         voirTout
group riverains v2c        voirTout
group proprio   v1         voirEtToucher
group proprio   v2c        voirEtToucher

view system included       .1.3.6.1.2.1.1.1
view all    included       .1

access touristes ""      any       noauth    exact  system none   none
access riverains ""      any       noauth    exact  all    none   none
access proprio   ""      any       noauth    exact  all    all    none
  1. Quelqu'un se déclarant de la communauté public pourra-t-il
    1. se connecter depuis n'importe quelle adresse IP ?

      Oui il pourra puisque la communauté public peut se connecter depuis default, c'est-à-dire de n'importe où (sous réserve qu'il n'y ait pas de restrictions mises à l'écoute du service lors de son lancement)

    2. obtenir les informations de la branche .iso.org.dod.internet.mgmt.mib-2.interfaces ? (on pourra s'aider de snmptranslate pour obtenir la version numérique de cette branche)

      Non. La version numérique de cette branche est .1.3.6.1.2.1.2. La communauté public fait partie du groupe voirUnPeu qui lui-même fait partie des touristes. Les touristes n'ont accès qu'à la vue system c'est-à-dire la branche .1.3.6.1.2.1.1.1 seulement, et .1.3.6.1.2.1.2 n'en est pas une sous-branche.

  2. Quelqu'un se déclarant de la communauté private pourra-t-il
    1. obtenir les informations de la branche .iso.org.dod.internet.mgmt.mib-2.interfaces s'il dispose de l'adresse 192.168.1.25 ?

      Non, la communauté private est accessible seulement à partir du sous-réseau 192.168.0.0/24 et 192.168.1.25 n'est pas dans ce sous-réseau.

    2. obtenir les informations de la branche .iso.org.dod.internet.mgmt.mib-2.interfaces s'il dispose de l'adresse 192.168.0.25 ?

      Oui. L'adresse IP est cette fois-ci autorisée. De plus, la communauté private est dans voirTout donc ce sont des riverains qui ont droit à la vue de tout l'arbre.

  3. Quelqu'un se déclarant de la communauté admin depuis l'adresse IP 192.168.0.17
    1. pourra-t-il obtenir les informations de la branche .1.3.6.1.2.1.2 ?
    2. pourra-t-il modifier une valeur accessible en écriture (SNMPv2-MIB::sysLocation par exemple) ?

      Non. dans tous les cas, la communauté admin ne peut utiliser que l'adresse IP 192.168.0.16, ce qui n'est pas le cas ici.
      Sinon, cette communauté pouvant voirEtToucher c'est-à-dire faisant partie de proprio peut lire et écrire dans la vue all donc dans tout l'arbre (mais seulement depuis la station d'adresse IP 192.168.0.16)