înregistrare Logare
Puncte:0
user278965 avatar Ubuntu

iptables cu NTP

drapel ro
user278965

eu folosesc iptables pentru a filtra traficul și de asemenea cronică pentru a sincroniza ora sistemului. Cu toate acestea, nu o fac să funcționeze, cumva cronică nu poate accesa serverul NTP.

Iată regulile mele pentru iptables:

# iptables -S
-P CĂDERARE INTRARE
-P PĂDURA ÎNTÂMPRE
-P CADEREA IESIRI
-A INTRARE -i eth0 -p udp -m udp --dport 123 -j ACCEPT
-A IEȘIRE -o eth0 -p udp -m udp --sport 123 -j ACCEPT

Și iată-mă că încerc să sincronizez ora sistemului:

# chronyd -4 -q „server 0.openembedded.pool.ntp.org iburst”
2021-01-27T09:06:15Z chronyd versiunea 3.5 începe (+CMDMON +NTP +REFCLOCK +RTC -PRIVDROP -SCFILTER -SIGND +ASYNCDNS -SECHASH +IPV6 -DEBUG)
2021-01-27T09:06:15Z Nicio sursă adecvată pentru sincronizare
2021-01-27T09:06:15Z chronyd ieșire

Când șterg toate regulile, comanda de sincronizare de mai sus funcționează fără probleme.

113
0 + 0
ntp
Puncte:1
Doug Smythies avatar Ubuntu
drapel gn
Doug Smythies

Când computerul dvs. încearcă să acceseze serverul NTP, portul sursă va fi nedeterminat, iar destinația de pe server va fi 123. Deci, opusul a ceea ce aveți în prezent. În schimb, faceți asta:

# iptables -S
-P CĂDERARE INTRARE
-P PĂDURA ÎNTÂMPRE
-P CADEREA IESIRI
-A INPUT -i eth0 -p udp -m udp --sport 123 -j ACCEPT
-A IEȘIRE -o eth0 -p udp -m udp --dport 123 -j ACCEPT

EDITARE: Din întrebările de comentariu:

Pentru lanțul INPUT --sport 123 înseamnă portul de pe mașina de la distanță și pentru lanțul OUTPUT --dport 123 înseamnă portul de pe mașina de la distanță.

O regulă poate funcționa pe mai multe interfețe de rețea fără a specifica o interfață de rețea, deși nu înțeleg de ce ați dori să faceți asta. Deci (netestat):

-A INTRARE -p udp -m udp --sport 123 -j ACCEPT
-A IEȘIRE -p udp -m udp --dport 123 -j ACCEPT
0 + 0
Doug Smythies avatar
drapel gn
Doug Smythies
am editat răspunsul pentru a include răspunsuri suplimentare.
0
Răspunde
Jags avatar
drapel kp
Jags
Mulțumesc mult pentru clarificări @doug-smythies
0
Răspunde
user278965 avatar
drapel ro
user278965
@DougSmythies Am încercat și asta, dar nu funcționează (comanda chronyd eșuează ca înainte). FYI: Avem două interfețe și vrem să sincronizăm timpul doar peste eth0 (deși am încercat fără eth0, același rezultat).
0
Răspunde
user278965 avatar
drapel ro
user278965
De asemenea, a trebuit să activez portul 53 pentru căutarea DNS, apoi a funcționat.
0
Răspunde
Doug Smythies avatar
drapel gn
Doug Smythies
Da, am vrut să menționez că probabil ar trebui să permiteți alte lucruri pentru o funcționare minimă. Presupun că utilizați adrese IP statice, altfel va trebui să permiteți porturile 67 și 68. De obicei, unul permite orice trafic de ieșire și RELATED,STABLISHED de intrare.
0
Răspunde
drapel romania
SEF 777
întrebarea această in alte limbi:

Postează un răspuns

Majoritatea oamenilor nu înțeleg că a pune multe întrebări deblochează învățarea și îmbunătățește legătura interpersonală. În studiile lui Alison, de exemplu, deși oamenii își puteau aminti cu exactitate câte întrebări au fost puse în conversațiile lor, ei nu au intuit legătura dintre întrebări și apreciere. În patru studii, în care participanții au fost implicați în conversații ei înșiși sau au citit transcrieri ale conversațiilor altora, oamenii au avut tendința să nu realizeze că întrebarea ar influența – sau ar fi influențat – nivelul de prietenie dintre conversatori.