[Check_mk (deutsch)] Agent Remote-Port 6556 definieren. Bei Verbindung wird jedes mal ein anderes Remote Port verwendet

Guy · April 8, 2019, 1:46pm

Hallo zusammen

Weis jemand wie ich den Agent Remote Port definieren kann?

Wir haben bei uns Server Richtlinie die besagt das für jeden Firewall Port wo wir freischalten, die Source-IP so Source-Port so wie Destination-Port eingetragen werden muss.

Bis jetzt habe ich nur folgendes gefunden: Hier ist immer auf den Lokalen Server bezogen.

** netsh advfirewall firewall add rule name=“Check_MK” description=“Monitoring” dir=in localport=6556 protocol=tcp action=allow
program="%ProgramFiles(x86)%\check_mk\check_mk_agent.exe" profile=private,domain enable=yes**

Access to Agents

This variable allows to specify the TCP port to be used to connect to the agent on a per-host-basis.

Hier kann nur der Local Port definiert werden.

Aktuell sie es wie folgt aus.

Beim Agenten ist es ersichtlich das es jedesmal ein anders Remote-Port verwendet wird (Bsp. 37612,39536,48238,46422, etc)

Freundliche Grüsse

Guy Benchetrit

Systemspezialist III, Admin MS / GEVER

Eidgenössisches Departement für

Wirtschaft, Bildung und Forschung WBF

Information Service Center WBF ISCeco

GEVER Services und Support GSS

Fellerstrasse 21, 3003 Bern

Tel. +41 58 465 04 49

Fax +41 31 324 95 99

guy.benchetrit@isceco.admin.ch

www.isceco.admin.ch/

andreas-doehler · April 8, 2019, 1:55pm

Hallo Guy,

das ist auch richtig so. Der remote Port sollte sich auch jedes mal ändern.

Ich wüsste nicht bei welchen Systemen dies anders ist.

Gruß

Andreas

···

Am Mo., 8. Apr. 2019 um 15:46 Uhr schrieb guy.benchetrit@isceco.admin.ch:

Hallo zusammen

Weis jemand wie ich den Agent Remote Port definieren kann?

Wir haben bei uns Server Richtlinie die besagt das für jeden Firewall Port wo wir freischalten, die Source-IP so Source-Port so wie Destination-Port eingetragen werden muss.

Bis jetzt habe ich nur folgendes gefunden: Hier ist immer auf den Lokalen Server bezogen.

** netsh advfirewall firewall add rule name=“Check_MK” description=“Monitoring” dir=in localport=6556 protocol=tcp action=allow
program=“%ProgramFiles(x86)%\check_mk\check_mk_agent.exe” profile=private,domain enable=yes**

Access to Agents

This variable allows to specify the TCP port to be used to connect to the agent on a per-host-basis.

Hier kann nur der Local Port definiert werden.

Aktuell sie es wie folgt aus.

Beim Agenten ist es ersichtlich das es jedesmal ein anders Remote-Port verwendet wird (Bsp. 37612,39536,48238,46422, etc)

Freundliche Grüsse

Guy Benchetrit

Systemspezialist III, Admin MS / GEVER

Eidgenössisches Departement für

Wirtschaft, Bildung und Forschung WBF

Information Service Center WBF ISCeco

GEVER Services und Support GSS

Fellerstrasse 21, 3003 Bern

Tel. +41 58 465 04 49

Fax +41 31 324 95 99

guy.benchetrit@isceco.admin.ch

www.isceco.admin.ch/

checkmk-de mailing list

checkmk-de@lists.mathias-kettner.de

Verwaltung & Abmeldung unter

https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de

mike1098 · April 8, 2019, 1:55pm

Hi Guy,

Der „remote port“ wird auch „ephemeral port“ genannt und ist quasi die Absende adresse des client. Dieser Port kann nicht fest definiert werden, muss eindeutig beim client sein und
wird automatisch vom client beim Verbindungsaufbau ermittelt.

Für die Firewall ist nur der Port des Agenten, also 6556 wichtig. Den ephemeral port liest die Firewall aus den ersten Packeten (Three way handshake) aus und trägt in in eine interne
liste ein (Stateful inspection).

Hoffe das hilft.

Gruß

Michael

···

From: checkmk-de checkmk-de-bounces@lists.mathias-kettner.de
On Behalf Of guy.benchetrit@isceco.admin.ch
Sent: Montag, 8. April 2019 15:46
To: checkmk-de@lists.mathias-kettner.de
Subject: [Check_mk (deutsch)] Agent Remote-Port 6556 definieren. Bei Verbindung wird jedes mal ein anderes Remote Port verwendet

Hallo zusammen

Weis jemand wie ich den Agent Remote Port definieren kann?

Wir haben bei uns Server Richtlinie die besagt das für jeden Firewall Port wo wir freischalten, die Source-IP so Source-Port so wie Destination-Port eingetragen werden muss.

Bis jetzt habe ich nur folgendes gefunden: Hier ist immer auf den Lokalen Server bezogen.

** netsh advfirewall firewall add rule name=“Check_MK” description=“Monitoring” dir=in localport=6556 protocol=tcp action=allow
program="%ProgramFiles(x86)%\check_mk\check_mk_agent.exe" profile=private,domain enable=yes**

Access to Agents

This variable allows to specify the TCP port to be used to connect to the agent on a per-host-basis.

Hier kann nur der Local Port definiert werden.

Aktuell sie es wie folgt aus.

Beim Agenten ist es ersichtlich das es jedesmal ein anders Remote-Port verwendet wird (Bsp. 37612,39536,48238,46422, etc)

Freundliche Grüsse

Guy Benchetrit

Systemspezialist III, Admin MS / GEVER

Eidgenössisches Departement für

Wirtschaft, Bildung und Forschung WBF

Information Service Center WBF ISCeco

GEVER Services und Support GSS

Fellerstrasse 21, 3003 Bern

Tel. +41 58 465 04 49

Fax +41 31 324 95 99

guy.benchetrit@isceco.admin.ch

www.isceco.admin.ch/

Nicolas_Vongeheur · April 8, 2019, 2:42pm

Hi Guy,

Der „remote port“ wird auch „ephemeral port“ genannt und ist quasi die Absende adresse des client. Dieser Port kann nicht fest definiert werden, muss eindeutig beim client
sein und wird automatisch vom client beim Verbindungsaufbau ermittelt.

Für die Firewall ist nur der Port des Agenten, also 6556 wichtig. Den ephemeral port liest die Firewall aus den ersten Packeten (Three way handshake) aus und trägt in in eine
interne liste ein (Stateful inspection).

Hoffe das hilft.

Gruß

Michael

···

From: checkmk-de checkmk-de-bounces@lists.mathias-kettner.de
On Behalf Of guy.benchetrit@isceco.admin.ch
Sent: Montag, 8. April 2019 15:46
To: checkmk-de@lists.mathias-kettner.de
Subject: [Check_mk (deutsch)] Agent Remote-Port 6556 definieren. Bei Verbindung wird jedes mal ein anderes Remote Port verwendet

Hallo zusammen

Weis jemand wie ich den Agent Remote Port definieren kann?

Wir haben bei uns Server Richtlinie die besagt das für jeden Firewall Port wo wir freischalten, die Source-IP so Source-Port so wie Destination-Port eingetragen werden muss.

Bis jetzt habe ich nur folgendes gefunden: Hier ist immer auf den Lokalen Server bezogen.

** netsh advfirewall firewall add rule name=“Check_MK” description=“Monitoring” dir=in localport=6556 protocol=tcp action=allow program="%ProgramFiles(x86)%\check_mk\check_mk_agent.exe"
profile=private,domain enable=yes**

Access to Agents

This variable allows to specify the TCP port to be used to connect to the agent on a per-host-basis.

Hier kann nur der Local Port definiert werden.

Aktuell sie es wie folgt aus.

Beim Agenten ist es ersichtlich das es jedesmal ein anders Remote-Port verwendet wird (Bsp. 37612,39536,48238,46422, etc)

<image001.png>

<image002.png>

Freundliche Grüsse

Guy Benchetrit

Systemspezialist III, Admin MS / GEVER

Eidgenössisches Departement für

Wirtschaft, Bildung und Forschung WBF

Information Service Center WBF ISCeco

GEVER Services und Support GSS

Fellerstrasse 21, 3003 Bern

Tel. +41 58 465 04 49

Fax +41 31 324 95 99

guy.benchetrit@isceco.admin.ch

www.isceco.admin.ch/

Manfred_Brunner1 · April 10, 2019, 7:43am

Morgen ,

  den Agenten Port kannst du?? zb. unter

/etc/xinetd.d/check-mk-agent anpassen

  Entsprechende Wato Regeln anlegen?? -> Datasource Programs

->Individual program call instead of agent access

  oder unter Wato -> Check_MK Agent -> TCP port for

connection to Check_MK agent

Gr???e Manfred

···

Am 08.04.19 um 16:42 schrieb Nicolas
Vongeheur:

Hi Guy,

    es gibt Software, bei der man den Remote-Port
definieren kann, dass ist hier nicht der Fall und in meinen
Augen auch zurecht. Zum einen bildet es eine Erhebliche
Sicherheitsl??cke, wenn der R??ckport bekannt ist, zum anderen
kann es zu Problemen mit andere Software f??hren, die sich den
Port nehemen m??chte und nicht pr??ft, ob er schon statisch
zugewiesen wurde. Das kann bis zu Verbindungsabbr??chen mit dem
Agent f??hren.

Gru??

Nico

On 8. Apr 2019, at 15:55, FRANK Michael <michael.frank@faurecia.com >
wrote:

Hi Guy,

??

                  Der ?????remote port??? wird auch ???ephemeral
port??? genannt und ist quasi die Absende adresse
des client. Dieser Port kann nicht fest definiert
werden, muss eindeutig beim client sein und wird
automatisch vom client beim Verbindungsaufbau
ermittelt.

                  F??r die Firewall ist nur der Port des
Agenten, also 6556 wichtig. Den ephemeral port
liest die Firewall aus den ersten Packeten (Three
way handshake) aus und tr??gt in in eine interne
liste ein (Stateful inspection).

??

Hoffe das hilft.

??

Gru??

??

Michael

??

From: checkmk-de <checkmk-de-bounces@lists.mathias-kettner.de >
On Behalf Of guy.benchetrit@isceco.admin.ch
Sent: Montag, 8. April 2019
15:46
To:
                       [Check_mk (deutsch)]
Agent Remote-Port 6556 definieren. Bei
Verbindung wird jedes mal ein anderes Remote
Port verwendet

??

Hallo zusammen

??

                  Weis jemand wie ich den

Agent Remote Port definieren kann?

                  Wir haben bei uns Server
Richtlinie die besagt das f??r jeden Firewall Port
wo wir freischalten, die Source-IP so Source-Port
so wie Destination-Port eingetragen werden muss.

??

                  Bis jetzt habe ich nur
folgendes gefunden: Hier ist immer auf den Lokalen
Server bezogen.

** netsh
advfirewall firewall add rule name=“Check_MK”
description=“Monitoring” dir=in localport=6556
protocol=tcp action=allow
program=“%ProgramFiles(x86)%\check_mk\check_mk_agent.exe”
profile=private,domain enable=yes**

??

Access to Agents

                  This variable allows to
specify the TCP port to be used to connect to the
agent on a per-host-basis.

                  Hier kann nur der Local Port

definiert werden.

??

                  Aktuell sie es wie folgt

aus.

                  Beim Agenten ist es
ersichtlich das es jedesmal ein anders Remote-Port
verwendet wird (Bsp. 37612,39536,48238,46422, etc)

??

<image001.png>

<image002.png>

??

Freundliche Gr??sse

Guy Benchetrit

                  Systemspezialist III, Admin

MS / GEVER

                  Eidgen??ssisches Departement

f??r

                  Wirtschaft, Bildung und

Forschung WBF

                  Information Service Center

WBF ISCeco

                                      GEVER Services und Support

GSS

Fellerstrasse?? 21, 3003 Bern

                                      Tel.?????????????????????????? +41 58 465

04 49

                                      Fax?????????????????????????? +41 31 324

95 99

                  guy.benchetrit@isceco.admin.ch


                [www.isceco.admin.ch/](http://www.isceco.admin.ch/)

??

            This electronic transmission (and any attachments
thereto) is intended solely for the use of the
addressee(s). It may contain confidential or legally
privileged information. If you are not the intended
recipient of this message, you must delete it
immediately and notify the sender. Any unauthorized use
or disclosure of this message is strictly prohibited.??
Faurecia does not guarantee the integrity of this
transmission and shall therefore never be liable if the
message is altered or falsified nor for any virus,
interception or damage to your system.

          checkmk-de mailing list

          checkmk-de@lists.mathias-kettner.de

          Verwaltung & Abmeldung unter

checkmk-de@lists.mathias-kettner.de
Subject:

https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de


_______________________________________________
checkmk-de mailing list
Verwaltung & Abmeldung unter

checkmk-de@lists.mathias-kettner.de https://lists.mathias-kettner.de/cgi-bin/mailman/listinfo/checkmk-de

g-e · November 22, 2019, 6:55am

Moin,
Das hört sich nach einem grundsätzlichen Verständnisproblem wie die Abfrage der Agenten bei checkmk abläuft. Der Agent liefert zwar die Daten Richtung Server, aber erst wenn er auf dem local Port 6556 angesprochen wird, und nicht selbstständig d.h. der Agent baut nicht die Verbindung auf sondern der Server.
Sprich die Verbindungsinitiierung sieht wie folgt aus:
Server (p:eph) -> Agent (p:6556)

@guy.benchetrit, du hast meines Erfassens nach aus der Sicht des zu überwachenden Systems berichtet. Das was du geschildert hast, zeigt ein korrektes Verhalten. Der checkmk-Agent lauscht auf Port 6556, der checkmk-Server baut von einem Ephemeral Port (für Linux bedeutet dies im allgemeinen >=32678) die Verbindung Richtung zu überwachtenden System hin zu Port 6556 auf.
(Welche Range für Ephemeral Ports genutzt werden, bestimmt das Betriebsystem des checkmk-Servers.)

Erst im nächsten Schritt laufen die abgefragten Daten vom Agenten in Richtung Server.

(Falls dein Paket-Mitschnitt doch von seitens des Servers stammen sollte (Aufgrund der entfernten Remoteadressen nicht erkennbar), liegt das dargestellte Bild wohl daran das der Server sich ebenfalls selbst überwacht, und dafür ebenfalls die gleichen Ports wie bei einem entfernten System nutzt. [sprich: server (p:eph.) -> localer Agent auf Server selbst (p:6556)].

Ich hoffe das hilft und verwirrt nicht noch mehr…
Gruß, g.