Jakie są reguły iptables, aby zezwolić na NTTP?

27

Zegar mojego serwera jest nieprawidłowy, ponieważ zapora sieciowa nie zezwala na ruch NTTP. Jakie są reguły iptables wymagane, aby klient NTTP mógł wyjść i wrócić?

Doceniono również wszelkie sugestie dotyczące wdrożenia tych zasad w systemie Ubuntu.

John Mee
źródło
Masz na myśli, że twój komputer może działać jako serwer NTP?
Ignacio Vazquez-Abrams
1
Działając jako klient.
John Mee

Odpowiedzi:

37

„out and back” oznacza, że ​​jesteś klientem NTP i chcesz porozmawiać z serwerem, który domyślam się, że możesz to zrobić; jeśli nie skonfigurowałeś zapory ogniowej do blokowania wszystkiego i masz w ogóle skonfigurowane iptables, będziesz mieć regułę „zezwalaj na powiązane / ustanowione”, co oznacza, że ​​odpowiedzi na żądania wychodzące są dozwolone automatycznie

w każdym razie NTP jest portem UDP 123, więc zakładając, że jesteś KLIENTEM i chcesz uzyskać dostęp do serwerów NTP, wykonaj następujące czynności:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

dołączą one reguły na końcu łańcucha OUTPUT i INPUT

Zakładając, że chcesz być serwerem, zrobiłbyś to

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Mam skrypt, który implementuje wszystkie moje reguły zapory ogniowej i wywołuję go z /etc/rc.local, który działa podczas uruchamiania na moim komputerze (ubuntu 8.04 LTS)

EDYCJA: Wyjaśniłeś, że dzieje się tak, ponieważ jesteś klientem. W domyślnej konfiguracji ubuntu nie powinieneś zmieniać żadnych ustawień zapory, aby to zrobić. Jaką konfigurację zapory sieciowej wykonałeś? Jeśli nic, jestem skłonny uwierzyć, że to nie jest problem zapory ogniowej.

opiekun
źródło
Wystąpił problem z regułą:> iptables -A WEJŚCIE -p udp --sport 123 -j AKCEPTUJ Przy powyższej regule ktoś może połączyć się z innym chronionym portem na twoim serwerze, chociaż połączenie nie jest właściwym terminem, ponieważ jest to udp. Wrócę i edytuję to, gdy znajdę odpowiedź.
Jak powiedziałem, większość klientów będzie miała regułę „zezwalaj na powiązanie / ustanowienie” - jest to lepsze, ponieważ zapisuje zapytanie wychodzące (do portu 123 z portu coś losowego) i zezwala na przychodzący pakiet z tego adresu IP z portu 123 do port coś Tylko
losowo
Wygląda na to, że nawet gdy staram się być tylko klientem, muszę dodać tę regułę iptables -A INPUT -p udp --dport 123 -j ACCEPTw moim przypadku
xi.lin,