Quali sono le regole di iptables per consentire ntp?


27

L'orologio del mio server è sbagliato perché il firewall non consente il traffico ntp. Quali sono le regole di iptables richieste per consentire al client ntp di uscire e tornare?

Apprezzati anche eventuali suggerimenti su come implementare queste regole su Ubuntu.


Intendi in modo che la tua macchina possa fungere da server NTP?
Ignacio Vazquez-Abrams,

1
Agire come cliente.
John Mee,

Risposte:


37

"out and back" implica che sei un client NTP e vuoi parlare con un server che immagino di default che puoi fare; se non hai impostato un firewall per bloccare tutto e hai installato iptables, avrai una regola "consenti / stabilita" che significa che le risposte alle richieste in uscita sono autorizzate automaticamente

in ogni caso, NTP è la porta UDP 123, quindi, supponendo che tu sia un CLIENTE e desideri accedere ai server NTP che faresti:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

questi aggiungeranno le regole alla fine delle tue catene OUTPUT e INPUT

Supponendo che tu voglia essere un server, lo faresti

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Ho uno script che implementa tutte le mie regole del firewall e lo chiamo da /etc/rc.local che viene eseguito all'avvio sul mio computer (ubuntu 8.04 LTS)

EDIT: Hai chiarito che questo è perché sei un cliente. Nella configurazione predefinita di Ubuntu, non dovresti modificare alcuna impostazione del firewall per farlo. Quale configurazione del firewall hai fatto? Se non altro, sono propenso a credere che questo non sia un problema di firewall.


C'è un problema con la regola:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Con la regola sopra qualcuno può connettersi ad un'altra porta protetta sul tuo server, sebbene connect non sia il termine giusto perché è udp. Tornerò e lo modificherò una volta trovata la risposta.

Come ho detto, la maggior parte dei client avrà una regola "consenti / stabilita" - che è meglio perché prende nota della query in uscita (alla porta 123 dalla porta qualcosa di casuale) e consentirà il pacchetto in arrivo da quell'IP dalla porta 123 a porta qualcosa Solo
casuale

Sembra che anche quando sto cercando di essere un cliente, devo aggiungere questa regola iptables -A INPUT -p udp --dport 123 -j ACCEPTnel mio caso
xi.lin
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.