- - PR -
iptablesでntpを許したいのですが。。
投稿者 | 投稿内容 | ||||
---|---|---|---|---|---|
|
投稿日時: 2004-01-13 18:15
お世話になります。下記の構成で単純にローカルのNTPサーバーと時刻を同期したいと思いますが、なぜかうまくいきません。フィルタのルールはこれでいいと思うのですが何故でしょうか。是非ともご教授願います。(※もちろんファイアーウォールをダダ空けにすると同期できます。)
[構成]-------------------------------------------- [ローカルNTPサーバー] 192.168.1.201 Win2000server | | | [NTPクライアント] eth1:192.168.1.202 Redhat8.0+iptables -------------------------------------------------- [iptablesのルール]--------------------------------- # NTPserverに対して123/TCPを許可 /sbin/iptables -A OUTPUT -p TCP -s 192.168.1.202 --dport 123 -d 192.168.1.201 -o eth1 -j ACC EPT /sbin/iptables -A INPUT -p TCP ! --syn -m state --state ESTABLISHED --sport 123 -s 192.168.1.201 -d 192.168.1.202 -i eth1 -j ACCEPT --------------------------------------------------- この状態でntpdateを実行すると [root@myserver root]# ntpdate 192.168.1.201 13 Jan 18:35:36 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted 13 Jan 18:35:37 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted 13 Jan 18:35:38 ntpdate[17420]: sendto(192.168.1.201): Operation not permitted ・・・・ となります(泣)。 | ||||
|
投稿日時: 2004-01-13 18:33
念の為ですが、
この場合、 NTPサーバーの方の 123 番ポートは当然空けておられますわな・・・ | ||||
|
投稿日時: 2004-01-13 19:40
はい。もちろん空けております。。
| ||||
|
投稿日時: 2004-01-13 19:52
NTPはtcpでしたっけ?私はUDPで運用していたのですが。
しかも、返事もインターネットのサーバーから同じportで帰ってきたので、 やもうえず、決めうちで、NTP Server からだけUDPの通過を許すようにしました。 もっと良い手がありましたら教えて下さい。 | ||||
|
投稿日時: 2004-01-13 20:30
あ、本当ですね。。
# NTPserverに対して123/UDPを許可 /sbin/iptables -A OUTPUT -p UDP -s 192.168.1.202 --dport 123 -d 192.168.1.201 -o eth1 -j ACC EPT /sbin/iptables -A INPUT -p UDP --sport 123 -s 192.168.1.201 -d 192.168.1.202 -i eth1 -j ACCEPT にしたらいけました。先ほどのTCPのルールはコメントアウトしているので最終的に123/UDPのみで #ntpdate 192.168.1.201 に成功していることになります。私の持っている本にNTPは123/TCPと断言してあったのでてっきり信じてしまいました。ミスプリということになるのでしょうか。。 | ||||
|
投稿日時: 2004-01-13 21:12
Windows 2000 Server が提供するのはSNTPサーバであったかと。
SNTPは行きも帰りもUDPの123番を使います。 | ||||
|
投稿日時: 2004-01-14 12:32
そうなんですか。。ありがとうございました。Linuxの本にntpはTCPの123を使用すると書いてありましたがこれがミスプリということですね??それともsntpとntpは違うものなのでしょうか。。
| ||||
|
投稿日時: 2004-01-14 14:38
私もNTPがTCPの123番portを使用すると書いてある本を読んだことがあります(^^; 色々実験した結果、UDPの123番portだと思って間違いないでしょう。ミスプリですね。 |