กฎ iptables อนุญาตให้ ntp มีอะไรบ้าง


27

นาฬิกาของเซิร์ฟเวอร์ของฉันผิดเนื่องจากไฟร์วอลล์ไม่อนุญาตการรับส่งข้อมูล ntp มีกฎ iptables อะไรบ้างที่จะอนุญาตให้ไคลเอนต์ ntp ออกไปและกลับ?

คำแนะนำใด ๆ เกี่ยวกับวิธีการใช้กฎเหล่านั้นบน Ubuntu ก็ยินดี


คุณหมายความว่าเครื่องของคุณสามารถทำหน้าที่เป็นเซิร์ฟเวอร์ NTP ได้หรือไม่?
Ignacio Vazquez-Abrams

1
ทำหน้าที่เป็นลูกค้า
John Mee

คำตอบ:


37

"out and back" บอกเป็นนัยว่าคุณเป็นไคลเอนต์ NTP และต้องการพูดคุยกับเซิร์ฟเวอร์โดยค่าเริ่มต้นคุณสามารถทำได้ หากคุณไม่ได้ตั้งค่าไฟร์วอลล์เพื่อบล็อกทุกอย่างและตั้งค่า iptables ได้เลยคุณจะมีกฎ "อนุญาตที่เกี่ยวข้อง / ยอมรับ" ซึ่งหมายถึงการตอบกลับคำขอขาออกได้รับอนุญาตโดยอัตโนมัติ

ไม่ว่าในกรณีใด NTP คือพอร์ต UDP 123 ดังนั้นสมมติว่าคุณเป็นลูกค้าและต้องการเข้าถึงเซิร์ฟเวอร์ NTP ที่คุณต้องการ:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

สิ่งเหล่านี้จะผนวกกฎต่อท้ายโซ่เอาท์พุทและอินพุตของคุณ

สมมติว่าคุณต้องการเป็นเซิร์ฟเวอร์คุณต้องทำ

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

ฉันมีสคริปต์ที่ใช้กฎไฟร์วอลล์ทั้งหมดของฉันและฉันเรียกมันจาก /etc/rc.local ซึ่งทำงานในการเริ่มต้นบนเครื่องของฉัน (ubuntu 8.04 LTS)

แก้ไข: คุณได้ชี้แจงว่านี่เป็นเพราะคุณเป็นลูกค้า ในการกำหนดค่าเริ่มต้นของอูบุนตูคุณไม่ควรเปลี่ยนการตั้งค่าไฟร์วอลล์เพื่อทำสิ่งนี้ คุณตั้งค่าไฟร์วอลล์ไว้ที่ใด หากไม่มีอะไรฉันเชื่อว่านี่ไม่ใช่ปัญหาไฟร์วอลล์


มีปัญหากับกฎ:> iptables -Ap -p udp --sport 123 -j ACCEPT ด้วยกฎข้างต้นใครบางคนสามารถเชื่อมต่อกับพอร์ตที่มีการป้องกันอื่นบนเซิร์ฟเวอร์ของคุณแม้ว่าการเชื่อมต่อไม่ได้เป็นคำที่เหมาะสมเพราะมันเป็น UDP ฉันจะกลับมาและแก้ไขเมื่อฉันพบคำตอบ

อย่างที่ฉันพูดลูกค้าส่วนใหญ่จะมีกฎ "อนุญาตที่เกี่ยวข้อง / ยอมรับ" - ดีกว่าเพราะจดบันทึกข้อความค้นหาขาออกของคุณ (ไปยังพอร์ต 123 จากพอร์ตบางสิ่งบางอย่างสุ่ม) และจะอนุญาตให้แพ็กเก็ตขาเข้าจาก IP นั้นจากพอร์ต 123 พอร์ตบางสิ่งเท่านั้นแบบ
สุ่ม

ดูเหมือนว่าแม้เมื่อฉันพยายามที่จะเป็นลูกค้าเท่านั้นฉันต้องเพิ่มกฎนี้iptables -A INPUT -p udp --dport 123 -j ACCEPTในกรณีของฉัน
xi.lin
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.