Ntp'ye izin verilecek iptables kuralları nelerdir?


27

Sunucumun saati yanlış, çünkü güvenlik duvarı ntp trafiğine izin vermiyor. Ntp istemcisinin çıkıp geri dönmesine izin vermek için gereken iptables kuralları nelerdir?

Ubuntu'da bu kuralların nasıl uygulanacağı ile ilgili önerileriniz de takdir edildi.


Yani, makineniz NTP sunucusu olarak çalışabiliyor mu?
Ignacio Vazquez-Abrams

1
Müşteri olarak hareket etmek.
John Mee,

Yanıtlar:


37

"out and back", bir NTP istemcisi olduğunuzu ve varsayılan olarak bunu yapabileceğinizi hayal ettiğim bir sunucuyla konuşmak istediğinizi belirtir; her şeyi engellemek için bir güvenlik duvarı kurmadıysanız ve iptables ayarladıysanız, "ilgili / kurulmuş" bir kurala sahip olacaksınız; bu, giden isteklerin yanıtlarına otomatik olarak izin verileceği anlamına gelir

Her durumda, NTP UDP bağlantı noktası 123'tür, bu nedenle, bir İSTEMCİ olduğunuzu ve yaptığınız NTP sunucularına erişmek istediğinizi varsayalım:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

Bunlar OUTPUT ve INPUT zincirlerinin sonuna kuralları ekleyecektir.

Bir sunucu olmak istediğinizi varsayarsak,

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Tüm güvenlik duvarı kurallarımı uygulayan bir komut dosyasına sahibim ve makinemde başlangıçta çalışan /etc/rc.local'den çağırıyorum (ubuntu 8.04 LTS)

EDIT: Bunun bir müşteri olduğun için açıklığa kavuştun. Ubuntu'nun varsayılan yapılandırmasında, bunu yapmak için herhangi bir güvenlik duvarı ayarını değiştirmeniz gerekmez. Hangi güvenlik duvarı yapılandırmasını yaptınız? Hiçbir şey değilse, bunun bir güvenlik duvarı sorunu olmadığına inanmaya meyilliyim.


Kuralla ilgili bir sorun var:> iptables -A INPUT -p udp --sport 123 -j KABUL Yukarıdaki kural ile birisi sunucunuzdaki başka bir korumalı bağlantı noktasına bağlanabilir, ancak connect udp olduğundan doğru terim değildir. Cevabı bulduktan sonra geri dönüp bunu düzenleyeceğim.

Dediğim gibi, çoğu müşteri "izin ver / ilişkili" kuralına sahip olacak - bu daha iyi çünkü giden sorgunuzu not ediyor (123 numaralı bağlantı noktasından bir portRandom'a bağlantı noktası) ve bu IP'den 123 numaralı bağlantı noktasından gelen pakete izin verecek sadece birşeyler
yayınla

Görünüşe göre sadece Müşteri olmaya iptables -A INPUT -p udp --dport 123 -j ACCEPT
çalışsam
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.