Quais são as regras do iptables para permitir o ntp?

27

O relógio do meu servidor está errado porque o firewall não permite tráfego ntp. Quais são as regras do iptables necessárias para permitir que o cliente ntp saia e volte?

Todas as sugestões de como implementar essas regras no Ubuntu também são bem-vindas.

John Mee
fonte
Você quer dizer que sua máquina possa atuar como um servidor NTP?
Ignacio Vazquez-Abrams
1
Atuando como cliente.
John Mee

Respostas:

37

"out and back" implica que você é um cliente NTP e deseja conversar com um servidor que eu imagino por padrão, você pode fazer isso; se você não tiver configurado um firewall para bloquear tudo e tiver configurado o iptables, terá uma regra "permitir relacionado / estabelecida", o que significa que as respostas às solicitações de saída são permitidas automaticamente

de qualquer forma, NTP é a porta UDP 123, portanto, supondo que você seja um CLIENTE e deseje acessar os servidores NTP que faria:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

isso anexará as regras ao final de suas cadeias OUTPUT e INPUT

Supondo que você queira ser um servidor, você faria

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Eu tenho um script que implementa todas as minhas regras de firewall e o chamo de /etc/rc.local, que é executado na inicialização da minha máquina (ubuntu 8.04 LTS)

Edição: Você esclareceu que isso é porque você é um cliente. Na configuração padrão do ubuntu, você não precisa alterar as configurações de firewall para fazer isso. Que configuração de firewall você fez? Se nada, sou inclinado a acreditar que este não é um problema de firewall.

frymaster
fonte
Há um problema com a regra:> iptables -A INPUT -p udp --sport 123 -j ACEITAR Com a regra acima, alguém pode conectar-se a outra porta protegida no servidor, embora a conexão não seja o termo correto porque é udp. Retornarei e editarei isso assim que encontrar a resposta.
Como eu disse, a maioria dos clientes terá uma regra "permitir relacionado / estabelecida" - isso é melhor porque anota sua consulta de saída (para a porta 123 da porta somethingRandom) e permitirá o pacote de entrada desse IP da porta 123 para port somethingRandom única
Frymaster
Parece que mesmo quando eu estou tentando ser um cliente somente, eu tenho que adicionar esta regra iptables -A INPUT -p udp --dport 123 -j ACCEPTno meu caso
xi.lin