Які правила iptables дозволяють ntp?


27

Годинник мого сервера невірний, оскільки брандмауер не дозволяє трафікувати ntp. Які правила iptables потрібні, щоб клієнт ntp міг вийти та повернутися назад?

Будь-які пропозиції щодо застосування цих правил щодо Ubuntu також високо оцінені.


Ви маєте на увазі, щоб ваша машина могла діяти як NTP-сервер?
Ігнасіо Васкес-Абрамс

1
Виступаючи як клієнт.
Джон Мей

Відповіді:


37

"Ззаду і назад" означає, що ви - клієнт NTP і хочете поговорити з сервером, я б за замовчуванням уявляв, що ви можете це зробити; якщо ви не встановили брандмауер, щоб блокувати все, а параметри iptables взагалі налаштовані, ви матимете правило "дозволити пов'язане / встановлене", що означає, що відповіді на вихідні запити дозволяються автоматично

у будь-якому випадку, NTP - це порт UDP 123, тож, припускаючи, що ви КЛІЄНТ і хочете отримати доступ до NTP-серверів, які ви зробили б:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

вони додадуть правила до кінця ланцюгів OUTPUT та INPUT

Якщо припустити, що ви хочете бути сервером, ви зробите це

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

У мене є сценарій, який реалізує всі мої правила брандмауера, і я називаю його з /etc/rc.local, який працює при запуску на моїй машині (ubuntu 8.04 LTS)

EDIT: Ви уточнили, що це тому, що ви - клієнт. У налаштуваннях за замовчуванням ubuntu вам не доведеться змінювати параметри брандмауера, щоб зробити це. Яку конфігурацію брандмауера ви зробили? Якщо нічого, я схильний вважати, що це не проблема брандмауера.


Проблема з правилом:> iptables -A INPUT -p udp --sport 123 -j ACCEPT За допомогою зазначеного правила хтось може підключитися до іншого захищеного порту на вашому сервері, хоча підключення не є правильним терміном, оскільки це udp. Я повернусь та відредагую це, як тільки знайду відповідь.

Як я вже говорив, більшість клієнтів матимуть правило "дозволити пов'язане / встановлене" - це краще, тому що він записує ваш вихідний запит (до порту 123 з порту щось випадкове) і дозволить вхідний пакет з цього IP від ​​порту 123 до порт щось, лише
випадковий

Здається, що навіть коли я намагаюся бути лише клієнтом, я повинен додати це правило iptables -A INPUT -p udp --dport 123 -j ACCEPTу своєму випадку
xi.lin
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.