Quelles sont les règles iptables pour autoriser ntp?

27

L'horloge de mon serveur est incorrecte car le pare-feu ne permet pas le trafic ntp. Quelles sont les règles iptables requises pour permettre au client ntp de sortir et de revenir?

Toute suggestion sur la façon de mettre en œuvre ces règles sur Ubuntu a également été appréciée.

ubuntu iptables ntp John Mee
la source
Vous voulez dire que votre machine peut agir comme un serveur NTP?
Ignacio Vazquez-Abrams
1
Agir en tant que client.
John Mee

Réponses:

37

"aller-retour" implique que vous êtes un client NTP et que vous souhaitez parler à un serveur que j'imagine par défaut, vous pouvez le faire; si vous n'avez pas configuré de pare-feu pour tout bloquer et que vous avez configuré iptables, vous aurez une règle "autoriser les liens / établis" qui signifie que les réponses aux demandes sortantes sont autorisées automatiquement

dans tous les cas, NTP est le port UDP 123, donc, en supposant que vous êtes un CLIENT et que vous souhaitez accéder aux serveurs NTP, vous feriez:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

ceux-ci ajouteront les règles à la fin de vos chaînes OUTPUT et INPUT

En supposant que vous vouliez être un serveur, vous le feriez

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

J'ai un script qui implémente toutes mes règles de pare-feu, et je l'appelle depuis /etc/rc.local qui s'exécute au démarrage sur ma machine (ubuntu 8.04 LTS)

EDIT: Vous avez précisé que c'est parce que vous êtes un client. Dans la configuration par défaut d'ubuntu, vous ne devriez pas avoir à modifier les paramètres du pare-feu pour ce faire. Quelle configuration de pare-feu avez-vous fait? Si rien, je suis enclin à croire que ce n'est pas un problème de pare-feu.

frymaster
la source
Il y a un problème avec la règle:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Avec la règle ci-dessus, quelqu'un peut se connecter à un autre port protégé sur votre serveur, bien que se connecter ne soit pas le bon terme car il est udp. Je reviendrai et modifierai ceci une fois que je trouverai la réponse.
Comme je l'ai dit, la plupart des clients auront une règle "autoriser les liens liés / établis" - c'est mieux car elle prend note de votre requête sortante (au port 123 du port quelque chose d'aléatoire) et autorisera le paquet entrant de cette IP du port 123 au port quelque
choseRandom
Il semble que même lorsque j'essaie d'être un client uniquement, je dois ajouter cette règle iptables -A INPUT -p udp --dport 123 -j ACCEPTdans mon cas
xi.lin