вичерпано, нічого не отримано

9

Я все пробував і дуже гуглив! Але я не можу зробити роботу NTP на своєму сервері. Цей пост - остання надія! Я встановив ntp на сервері debian із цією конфігурацією ( /etc/ntp.conf):

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1 noserve nomodify
restrict ::1

Тепер, коли я намагаюся:

ntpq -pn
127.0.0.1: timed out, nothing received
***Request timed out

Коли я намагаюся:

ntpdate -q
9 Mar 18:08:01 ntpdate[27896]: no servers can be used, exiting

Але з:

ntpdate -d 0.it.pool.ntp.org

Я отримую вхідні пакети і встановлюю час компенсації. Це призвело до неправильної конфігурації ntp.conf .

Будь-які підказки, чому це відбувається.

debian  ntp 
Тест
джерело
Який файл ви показуєте? Це /etc/ntp.conf? Ви впевнені в тих серверах NTP? Спробуйте Debian, мій (робочий) ntp.conf тут .
тердон
Так, це ntp.conf. Я спробую з серверами debian. Спасибі
тест
Ні, завжди однакові помилки.
Тест
Якщо припустити, що ви перезапустили ntpd після внесення цих змін, це правильно? service ntpd restart.
slm
1
Крім того, ваші обмежені лінії дивні ... Подивіться на support.ntp.org/bin/view/Support/AccessRestrictions
derobert

Відповіді:

3

Якщо жоден із серверів NTP, на які ви намагаєтесь, здається, не відповідає, певно, брандмауер блокує або вихідні запити, або вхідні відповіді.

NTP використовує порт UDP 123. Ви можете перевірити, чи блокуються вихідні запити, виконавши traceroute на цьому порту. Залежно від вашої реалізації traceroute, це може бути щось на зразок traceroute -p 123 0.it.pool.ntp.org(Debian включає в себе кілька реалізацій traceroute, перевірити traceroute --helpабо man tracerouteу вашій системі). Якщо вхідні запити заблоковані, але вихідні запити проходять, я не думаю, що ви можете діагностувати, де вони заблоковані без доступу до машини поза вашою мережею (якщо у вас є доступ до такої машини, запустіть traceroute -p 123 your.ip.address). Зауважте, що якщо у вас є приватна IP-адреса , можливість користуватися NTP вимагає співпраці вашого мережевого адміністратора (зокрема, підтримка NTP в пристрої NAT ).

Якщо ви встановили брандмауер на своєму комп'ютері, переконайтеся, що він пропускає NTP. Найпростіший спосіб - дозволити весь трафік на порт UDP 123:

iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

(Ви можете додати -d/ -sдирективи для обмеження певної IP-адреси або набору IP-адрес. Зверніть увагу, що якщо ви це зробите, вам потрібно буде оновити ці правила, якщо сервери NTP в пулі, який ви використовуєте, змінити IP-адреси .)

Якщо трафік NTP заблокований десь між вашим пристроєм та Інтернетом, зверніться до свого адміністратора мережі. Цілком ймовірно, що є ретрансляційна машина, яку ви можете використовувати як ваш NTP-сервер.

Жил "ТАК - перестань бути злим"
джерело
Зовнішній трафік NTP, ймовірно, буде заблокований постачальником хостингу / провайдером. Це важкий підхід для запобігання DDOS. Запитайте у свого провайдера, до яких внутрішніх серверів ntp ви можете підключитися.
dfc
1
@dfc На мій досвід, корпоративні брандмауери блокують NTP як частину блокування всього UDP або як природний наслідок NAT, але Інтернет-провайдери не (за винятком тих, хто NAT). Дійсно, якщо ваш Інтернет-провайдер блокує вхідний NTP, він повинен надавати сервер NTP у своїй мережі.
Жил 'ТАК - перестань бути злим'
Я вже додав ці правила до iptables, але все-таки помилка. Зазвичай: ntpdate -d 0.it.pool.ntp.org, він працює. Тож я вірю, що це ntp.conf.
Тест
@Gilles - це "ваш досвід", беручи до уваги недавню хвилю DDoS-атак, які використовують ntp? Рік тому я погодився б з вашим коментарем. Однак після останніх хвиль атак фільтрація ntp набагато частіше, ніж ви думаєте.
dfc
@BojanVidanovic Це не має сенсу, що він працює з ntpdate, а не з ntp. Коли він працює з ntpdate, слід зазначити IP-адресу, яка повернула відповідь ann, і спробувати ввести її в ntp.conf. Відповідь DNS для адреси pool.ntp.org буде змінюватися залежно від того, скільки серверів моніторів пулів на даний момент є корисними, на додаток до деякої псевдо рандомізації в демоні dns.
dfc
3

Наскільки я можу сказати ваше запитання: "Чому він ntpq -pnне функціонує так, як я очікую?"

Змініть цей рядок:

restrict 127.0.0.1 noserve nomodify

назад до того, що було спочатку: 

restrict 127.0.0.1

тепер ntpq -pnбуде працювати.

FYI: ::1це версія IPv6127.0.0.1

Оновлений конфігурація:

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1
restrict ::1
dfc
джерело
127.0.0.1: вичерпано, нічого не надійшло *** Запит вичерпано
Тест
Ви оновили /etc/ntp.conf до того, що вказано вище, і перезавантажили ntp, і ви отримали повідомлення про відмітку часу? який вихід netstat -laun?
dfc
Дуже дякую! Я також додав "обмежити localhost" наприкінці обмежень
Vagner do Carmo
1

Здається, у вашій проблемі є вибір цих двох серверів у цих двох рядках вашого конфігураційного файлу:

server ntp1.inrim.it iburst
server ntp2.inrim.it iburst

Коли я намагаюся запитати будь-який з них, я також отримую вашу помилку:

$ sudo ntpq -p ntp1.inrim.it
ntp1.inrim.it: timed out, nothing received
***Request timed out

$ sudo ntpq -p ntp2.inrim.it
ntp2.inrim.it: timed out, nothing received
***Request timed out

Я б спробував вибрати для початку кілька різних серверів.

Ці сервери?

Коли я переглядаю їхні імена в Google, я натрапив на цю сторінку під назвою: Come configurere il vostro NTP . Там був згаданий ще один сервер, який не працював:

$ sudo ntpq -p host2.miaditta.it 
host2.miaditta.it: timed out, nothing received
***Request timed out

Ці сервери, здається, будуть проблемою.

Шифрування?

Якщо ви подивитесь далі на цю URL-адресу вище, яку я згадав, вони обговорюють використання шифрування, можливо, вам потрібно буде включити цей доступ до цих серверів NTP.

Поради щодо налагодження

Мені вдалося успішно підключитися до обох ваших iburstсерверів за допомогою цієї команди:

$ ntpdate -d <server>
Приклад 
$ ntpdate -d ntp1.inrim.it
 9 Mar 21:01:37 ntpdate[20739]: ntpdate 4.2.6p5@1.2349-o Tue Apr  2 17:47:01 UTC 2013 (1)
Looking for host ntp1.inrim.it and service ntp
host found : ntp1.inrim.it
transmit(193.204.114.232)
receive(193.204.114.232)
...
server 193.204.114.232, port 123
stratum 1, precision -22, leap 00, trust 000
refid [CTD], delay 0.19319, dispersion 0.00084
transmitted 4, in filter 4
reference time:    d6c78d79.f0206119  Sun, Mar  9 2014 21:01:45.937
originate timestamp: d6c78d7e.55ab5b4b  Sun, Mar  9 2014 21:01:50.334
transmit timestamp:  d6c78d77.7e9b8296  Sun, Mar  9 2014 21:01:43.494
filter delay:  0.19460  0.19710  0.19453  0.19319 
         0.00000  0.00000  0.00000  0.00000 
filter offset: 6.755368 6.757349 6.755239 6.756265
         0.000000 0.000000 0.000000 0.000000
delay 0.19319, dispersion 0.00084
offset 6.756265

 9 Mar 21:01:43 ntpdate[20739]: step time server 193.204.114.232 offset 6.756265 sec

Тож, здається, у вашому питанні насправді щось не так із вашим ntp.confфайлом. Підтвердьте, що це так, і ми можемо продовжувати налагодження далі.

slm
джерело
Так, я не буду використовувати ці сервери, але я додав debian.pool.ntp.org, і я все одно отримую: вичерпано. Або it.pool.ntp.org, який працює, дає мені таку ж помилку. На даний момент я думаю, що щось блокує NTP.
Тест
якщо я спробую: ntpdate 0.debian.pool.ntp.org, це працює.
Тест
Так, з: ntpdate -d ntp1.inrim.it я бачу такі самі результати, як і у вас. То, ймовірно, це ntp.conf.
Тест
1
@BojanVidanovic - так, так, швидше за все, це питання ntp.conf. Тож це хороший прогрес. Я б вийняв більшість рядків, за винятком серверних, щоб це налагодити далі.
slm
1
Перемикачі на ntpd, додавання -dпараметрів, додадуть більше, і -D levelввімкнуть INFO, TRACE, DEBUG тощо
slm
0

У моєму випадку адаптер петлі відключений у системі. Після ввімкнення проблеми проблема була вирішена. Дивіться / etc / network / file interface.

лехаб
джерело
0

З того, що я бачу, ви налаштували NTP SERVER, але ви вказуєте це на POOL

server 0.pool.ntp.org

Спробуйте:

pool 0.pool.ntp.org

замість цього або використовуйте "сервер" із виділеним сервером, а не пулом.

ронатор
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.