Каковы правила iptables для разрешения ntp?


27

Часы моего сервера неправильные, потому что брандмауэр не разрешает ntp-трафик. Какие правила iptables необходимы, чтобы позволить клиенту ntp выйти и вернуться?

Любые предложения по реализации этих правил в Ubuntu также приветствуются.


Вы имеете в виду, что ваша машина может выступать в качестве NTP-сервера?
Игнасио Васкес-Абрамс

1
Действуя как клиент.
Джон Ми

Ответы:


37

«обратно и обратно» подразумевает, что вы являетесь клиентом NTP и хотите поговорить с сервером, который, я думаю, по умолчанию вы можете сделать это; если вы не настроили брандмауэр для блокировки всего, а iptables настроен вообще, у вас будет правило «разрешать / устанавливать», которое означает, что ответы на исходящие запросы разрешаются автоматически

в любом случае NTP - это UDP-порт 123, поэтому, если вы являетесь КЛИЕНТОМ и хотите получить доступ к NTP-серверам, вы должны:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

они добавят правила в конец цепочек OUTPUT и INPUT

Предполагая, что вы хотите быть сервером, вы бы сделали

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

У меня есть скрипт, который реализует все мои правила брандмауэра, и я вызываю его из /etc/rc.local, который запускается при запуске на моей машине (Ubuntu 8.04 LTS)

РЕДАКТИРОВАТЬ: Вы пояснили, что это потому, что вы клиент. В конфигурации по умолчанию в Ubuntu вам не нужно изменять какие-либо настройки брандмауэра, чтобы сделать это. Какую конфигурацию брандмауэра вы сделали? Если ничего, я склонен полагать, что это не проблема брандмауэра.


Существует проблема с правилом:> iptables -A INPUT -p udp --sport 123 -j ПРИНЯТЬ С помощью приведенного выше правила кто-то может подключиться к другому защищенному порту на вашем сервере, хотя connect - неправильный термин, потому что это udp. Я вернусь и отредактирую это, как только найду ответ.

Как я уже говорил, у большинства клиентов будет правило «разрешить связанное / установленное», которое лучше, потому что оно запоминает ваш исходящий запрос (на порт 123 с портаthingRandom) и разрешает входящий пакет с этого IP-адреса с порта 123 на порт что-то только
случайное

Кажется, что даже когда я пытаюсь быть только Клиентом, я должен добавить это правило iptables -A INPUT -p udp --dport 123 -j ACCEPTв моем случае
xi.lin
Используя наш сайт, вы подтверждаете, что прочитали и поняли нашу Политику в отношении файлов cookie и Политику конфиденциальности.
Licensed under cc by-sa 3.0 with attribution required.