Was sind die Iptables-Regeln, um NTP zuzulassen?

27

Die Uhr meines Servers ist falsch, weil die Firewall keinen NTP-Verkehr zulässt. Welche iptables-Regeln sind erforderlich, damit der ntp-Client ein- und aussteigen kann?

Vorschläge, wie diese Regeln unter Ubuntu implementiert werden können, sind ebenfalls willkommen.

John Mee
quelle
Sie meinen damit, dass Ihr Rechner als NTP-Server fungieren kann?
Ignacio Vazquez-Abrams
1
Als Kunde auftreten.
John Mee

Antworten:

37

"Hin und zurück" impliziert, dass Sie ein NTP-Client sind und mit einem Server kommunizieren möchten, von dem ich annehme, dass Sie dies standardmäßig tun können. Wenn Sie noch keine Firewall eingerichtet haben, die alles blockiert, und wenn Sie iptables eingerichtet haben, haben Sie eine "verwandte / eingerichtete zulassen" -Regel, was bedeutet, dass Antworten auf ausgehende Anfragen automatisch zugelassen werden

In jedem Fall ist NTP der UDP-Port 123. Angenommen, Sie sind ein KUNDE und möchten auf die NTP-Server zugreifen, die Sie tun würden:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

Dadurch werden die Regeln an das Ende Ihrer OUTPUT- und INPUT-Ketten angehängt

Angenommen, Sie möchten ein Server sein, würden Sie tun

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Ich habe ein Skript, das alle meine Firewall-Regeln implementiert, und ich rufe es von /etc/rc.local auf, das beim Start auf meinem Computer ausgeführt wird (Ubuntu 8.04 LTS).

EDIT: Sie haben klargestellt, dass dies daran liegt, dass Sie ein Kunde sind. In der Standardkonfiguration von ubuntu sollten Sie dazu keine Firewall-Einstellungen vornehmen müssen. Welche Firewall-Konfiguration haben Sie vorgenommen? Wenn nichts, bin ich geneigt zu glauben, dass dies kein Firewall-Problem ist.

Frymaster
quelle
Es gibt ein Problem mit der Regel:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Mit der obigen Regel kann sich jemand mit einem anderen geschützten Port auf Ihrem Server verbinden, obwohl connect nicht der richtige Begriff ist, weil es udp ist. Ich werde zurückkehren und bearbeiten, sobald ich die Antwort gefunden habe.
Wie ich bereits sagte, haben die meisten Clients eine "Erlaube verwandte / etablierte" Regel - das ist besser, weil sie Ihre ausgehende Anfrage (an Port 123 von Port somethingRandom) notiert und das eingehende Paket von dieser IP von Port 123 an zulässt Port
etwasNur zufällig
Es scheint, dass ich, selbst wenn ich nur ein Kunde sein iptables -A INPUT -p udp --dport 123 -j ACCEPT
möchte