- PR -

iptablesでntpを許したいのですが。。

1|2 次のページへ»
投稿者投稿内容
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2004-01-13 18:15
 お世話になります。下記の構成で単純にローカルのNTPサーバーと時刻を同期したいと思いますが、なぜかうまくいきません。フィルタのルールはこれでいいと思うのですが何故でしょうか。是非ともご教授願います。(※もちろんファイアーウォールをダダ空けにすると同期できます。)

[構成]--------------------------------------------

[ローカルNTPサーバー] 192.168.1.201 Win2000server
   |
   |
   |
[NTPクライアント] eth1:192.168.1.202 Redhat8.0+iptables

--------------------------------------------------

[iptablesのルール]---------------------------------

# NTPserverに対して123/TCPを許可
/sbin/iptables -A OUTPUT -p TCP -s 192.168.1.202 --dport 123 -d 192.168.1.201 -o eth1 -j ACC
EPT
/sbin/iptables -A INPUT -p TCP ! --syn -m state --state ESTABLISHED --sport 123
-s 192.168.1.201 -d 192.168.1.202 -i eth1 -j ACCEPT

---------------------------------------------------
この状態でntpdateを実行すると
[root@myserver root]# ntpdate 192.168.1.201
13 Jan 18:35:36 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted
13 Jan 18:35:37 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted
13 Jan 18:35:38 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted
・・・・

となります(泣)。
コブラ
ぬし
会議室デビュー日: 2003/07/18
投稿数: 1038
お住まい・勤務地: 神奈川
投稿日時: 2004-01-13 18:33
念の為ですが、
この場合、 NTPサーバーの方の 123 番ポートは当然空けておられますわな・・・
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2004-01-13 19:40
はい。もちろん空けております。。
kt
会議室デビュー日: 2003/09/09
投稿数: 5
投稿日時: 2004-01-13 19:52
NTPはtcpでしたっけ?私はUDPで運用していたのですが。
しかも、返事もインターネットのサーバーから同じportで帰ってきたので、
やもうえず、決めうちで、NTP Server からだけUDPの通過を許すようにしました。
もっと良い手がありましたら教えて下さい。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2004-01-13 20:30
 あ、本当ですね。。

# NTPserverに対して123/UDPを許可
/sbin/iptables -A OUTPUT -p UDP -s 192.168.1.202 --dport 123 -d 192.168.1.201 -o eth1 -j ACC
EPT
/sbin/iptables -A INPUT -p UDP --sport 123 -s 192.168.1.201 -d 192.168.1.202 -i eth1 -j ACCEPT

にしたらいけました。先ほどのTCPのルールはコメントアウトしているので最終的に123/UDPのみで

#ntpdate 192.168.1.201

に成功していることになります。私の持っている本にNTPは123/TCPと断言してあったのでてっきり信じてしまいました。ミスプリということになるのでしょうか。。
ぽんす
ぬし
会議室デビュー日: 2003/05/21
投稿数: 1023
投稿日時: 2004-01-13 21:12
Windows 2000 Server が提供するのはSNTPサーバであったかと。
SNTPは行きも帰りもUDPの123番を使います。
McLaren
ぬし
会議室デビュー日: 2002/01/15
投稿数: 784
お住まい・勤務地: 東京
投稿日時: 2004-01-14 12:32
そうなんですか。。ありがとうございました。Linuxの本にntpはTCPの123を使用すると書いてありましたがこれがミスプリということですね??それともsntpとntpは違うものなのでしょうか。。
ちば
大ベテラン
会議室デビュー日: 2003/02/14
投稿数: 114
お住まい・勤務地: 都内勤務
投稿日時: 2004-01-14 14:38
引用:

okumuraさんの書き込み (2004-01-14 12:32) より:
そうなんですか。。ありがとうございました。Linuxの本にntpはTCPの123を使用すると書いてありましたがこれがミスプリということですね??それともsntpとntpは違うものなのでしょうか。。


私もNTPがTCPの123番portを使用すると書いてある本を読んだことがあります(^^;
色々実験した結果、UDPの123番portだと思って間違いないでしょう。ミスプリですね。
1|2 次のページへ»

スキルアップ/キャリアアップ(JOB@IT)