Các quy tắc iptables để cho phép ntp là gì?


27

Đồng hồ máy chủ của tôi sai vì tường lửa không cho phép lưu lượng ntp. Các quy tắc iptables cần có để cho phép máy khách ntp thoát ra và quay lại là gì?

Bất kỳ đề xuất nào để thực hiện các quy tắc đó trên Ubuntu cũng được đánh giá cao.


Ý bạn là để máy của bạn có thể hoạt động như một máy chủ NTP?
Ignacio Vazquez-Abrams

1
Làm khách hàng.
John Mee

Câu trả lời:


37

"ra ngoài và trở lại" ngụ ý bạn là một khách hàng NTP và muốn nói chuyện với một máy chủ mà tôi tưởng tượng theo mặc định bạn có thể làm điều này; nếu bạn chưa thiết lập tường lửa để chặn mọi thứ và có iptables được thiết lập, bạn sẽ có quy tắc "cho phép liên quan / thiết lập", nghĩa là trả lời các yêu cầu gửi đi được cho phép tự động

trong mọi trường hợp, NTP là cổng UDP 123, vì vậy, giả sử bạn là KHÁCH HÀNG và muốn truy cập các máy chủ NTP bạn sẽ làm:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

những điều này sẽ nối các quy tắc vào cuối chuỗi OUTPUT và INPUT của bạn

Giả sử bạn muốn trở thành một máy chủ, bạn sẽ làm

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Tôi có một tập lệnh thực hiện tất cả các quy tắc tường lửa của mình và tôi gọi nó từ /etc/rc.local chạy khi khởi động trên máy của tôi (ubfox 8.04 LTS)

EDIT: Bạn đã làm rõ rằng điều này là do bạn là khách hàng. Trong cấu hình mặc định của Ubuntu, bạn không cần phải thay đổi bất kỳ cài đặt tường lửa nào để thực hiện việc này. Cấu hình tường lửa nào bạn đã làm? Nếu không có gì, tôi tin rằng đây không phải là vấn đề tường lửa.


Có một vấn đề với quy tắc:> iptables -A INPUT -p udp --sport 123 -j CHẤP NHẬN Với quy tắc trên, ai đó có thể kết nối với một cổng được bảo vệ khác trên máy chủ của bạn, mặc dù kết nối không phải là thuật ngữ đúng vì đó là udp. Tôi sẽ trở lại và chỉnh sửa điều này một khi tôi tìm thấy câu trả lời.

Giống như tôi đã nói, hầu hết các máy khách sẽ có quy tắc "cho phép liên quan / được thiết lập" - tốt hơn bởi vì nó ghi chú truy vấn gửi đi của bạn (đến cổng 123 từ cổng SomethingRandom) và sẽ cho phép gói đến từ IP đó từ cổng 123 đến cổng một cái gì đó Chỉ dành cho cộng đồng
frymaster

Có vẻ như ngay cả khi tôi chỉ cố gắng trở thành Khách hàng, tôi phải thêm quy tắc này iptables -A INPUT -p udp --dport 123 -j ACCEPTtrong trường hợp của mình
xi.lin
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.