Apa aturan iptables untuk mengizinkan ntp?


27

Jam server saya salah karena firewall tidak mengizinkan lalu lintas ntp. Apa aturan iptables yang diperlukan untuk memungkinkan klien ntp keluar dan kembali?

Setiap saran bagaimana menerapkan aturan-aturan itu di Ubuntu juga dihargai.


Maksud Anda agar mesin Anda dapat bertindak sebagai server NTP?
Ignacio Vazquez-Abrams

1
Bertindak sebagai klien.
John Mee

Jawaban:


37

"Keluar dan kembali" menyiratkan Anda adalah klien NTP dan ingin berbicara dengan server yang saya bayangkan secara default Anda dapat melakukan ini; jika Anda belum menyiapkan firewall untuk memblokir semuanya, dan memiliki iptables yang diatur sama sekali, Anda akan memiliki aturan "bolehkan yang terkait / dibuat" yang berarti balasan terhadap permintaan keluar diizinkan secara otomatis

dalam hal apa pun, NTP adalah port UDP 123, jadi, dengan anggapan Anda KLIEN dan ingin mengakses server NTP yang akan Anda lakukan:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

ini akan menambahkan aturan pada akhir rantai OUTPUT dan INPUT Anda

Dengan asumsi Anda ingin menjadi server, Anda akan melakukannya

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Saya memiliki skrip yang mengimplementasikan semua aturan firewall saya, dan saya menyebutnya dari /etc/rc.local yang berjalan saat startup di komputer saya (ubuntu 8.04 LTS)

EDIT: Anda telah mengklarifikasi bahwa ini karena Anda adalah klien. Dalam konfigurasi default ubuntu, Anda tidak perlu mengubah pengaturan firewall apa pun untuk melakukan ini. Konfigurasi firewall apa yang telah Anda lakukan? Jika tidak ada, saya cenderung percaya bahwa ini bukan masalah firewall.


Ada masalah dengan aturan:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Dengan aturan di atas seseorang dapat terhubung ke port lain yang dilindungi di server Anda, meskipun koneksi bukan istilah yang tepat karena itu udp. Saya akan kembali dan mengedit ini setelah saya menemukan jawabannya.

Seperti yang saya katakan, sebagian besar klien akan memiliki aturan "bolehkan yang terkait / dibuat" - yang lebih baik karena membuat catatan permintaan keluar Anda (ke port 123 dari port somethingRandom) dan akan memungkinkan paket yang masuk dari IP dari port 123 ke port port somethingRandom saja
frymaster

Tampaknya bahkan ketika saya mencoba menjadi Klien saja, saya harus menambahkan aturan ini iptables -A INPUT -p udp --dport 123 -j ACCEPTdalam kasus saya
xi.lin
Dengan menggunakan situs kami, Anda mengakui telah membaca dan memahami Kebijakan Cookie dan Kebijakan Privasi kami.
Licensed under cc by-sa 3.0 with attribution required.