Quali sono le regole di iptables per consentire ntp?

27

L'orologio del mio server è sbagliato perché il firewall non consente il traffico ntp. Quali sono le regole di iptables richieste per consentire al client ntp di uscire e tornare?

Apprezzati anche eventuali suggerimenti su come implementare queste regole su Ubuntu.

ubuntu  iptables  ntp 
John Mee
fonte
Intendi in modo che la tua macchina possa fungere da server NTP?
Ignacio Vazquez-Abrams,
1
Agire come cliente.
John Mee,

Risposte:

37

"out and back" implica che sei un client NTP e vuoi parlare con un server che immagino di default che puoi fare; se non hai impostato un firewall per bloccare tutto e hai installato iptables, avrai una regola "consenti / stabilita" che significa che le risposte alle richieste in uscita sono autorizzate automaticamente

in ogni caso, NTP è la porta UDP 123, quindi, supponendo che tu sia un CLIENTE e desideri accedere ai server NTP che faresti:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

questi aggiungeranno le regole alla fine delle tue catene OUTPUT e INPUT

Supponendo che tu voglia essere un server, lo faresti

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Ho uno script che implementa tutte le mie regole del firewall e lo chiamo da /etc/rc.local che viene eseguito all'avvio sul mio computer (ubuntu 8.04 LTS)

EDIT: Hai chiarito che questo è perché sei un cliente. Nella configurazione predefinita di Ubuntu, non dovresti modificare alcuna impostazione del firewall per farlo. Quale configurazione del firewall hai fatto? Se non altro, sono propenso a credere che questo non sia un problema di firewall.

Frymaster
fonte
C'è un problema con la regola:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Con la regola sopra qualcuno può connettersi ad un'altra porta protetta sul tuo server, sebbene connect non sia il termine giusto perché è udp. Tornerò e lo modificherò una volta trovata la risposta.
Come ho detto, la maggior parte dei client avrà una regola "consenti / stabilita" - che è meglio perché prende nota della query in uscita (alla porta 123 dalla porta qualcosa di casuale) e consentirà il pacchetto in arrivo da quell'IP dalla porta 123 a porta qualcosa Solo
casuale
Sembra che anche quando sto cercando di essere un cliente, devo aggiungere questa regola iptables -A INPUT -p udp --dport 123 -j ACCEPTnel mio caso
xi.lin
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.