¿Cuáles son las reglas de iptables para permitir ntp?

27

El reloj de mi servidor está mal porque el firewall no permite el tráfico ntp. ¿Cuáles son las reglas de iptables necesarias para permitir que el cliente ntp salga y regrese?

Cualquier sugerencia sobre cómo implementar esas reglas en Ubuntu también es apreciada.

John Mee
fuente
¿Quiere decir que su máquina puede actuar como un servidor NTP?
Ignacio Vazquez-Abrams
1
Actuando como cliente.
John Mee

Respuestas:

37

"ida y vuelta" implica que usted es un cliente NTP y desea hablar con un servidor, me imagino que por defecto puede hacerlo; Si no ha configurado un cortafuegos para bloquear todo y tiene configuradas iptables, tendrá una regla de "permitir relacionado / establecido" que significa que las respuestas a las solicitudes salientes se permiten automáticamente

en cualquier caso, NTP es el puerto UDP 123, por lo tanto, suponiendo que usted es un CLIENTE y desea acceder a los servidores NTP que haría:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

estos agregarán las reglas al final de sus cadenas de SALIDA e ENTRADA

Suponiendo que quieres ser un servidor, lo harías

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Tengo un script que implementa todas mis reglas de firewall, y lo llamo desde /etc/rc.local que se ejecuta al inicio en mi máquina (ubuntu 8.04 LTS)

EDITAR: ha aclarado que esto se debe a que es un cliente. En la configuración predeterminada de ubuntu, no debería tener que modificar ninguna configuración de firewall para hacer esto. ¿Qué configuración de firewall has hecho? Si nada, me inclino a creer que este no es un problema de firewall.

frymaster
fuente
Hay un problema con la regla:> iptables -A INPUT -p udp --sport 123 -j ACCEPT Con la regla anterior, alguien puede conectarse a otro puerto protegido en su servidor, aunque conectar no es el término correcto porque es udp. Volveré y editaré esto una vez que encuentre la respuesta.
Como dije, la mayoría de los clientes tendrán una regla de "permitir relacionado / establecido"; eso es mejor porque toma nota de su consulta saliente (al puerto 123 desde el puerto algo aleatorio) y permitirá el paquete entrante desde esa IP desde el puerto 123 a puerto algo
aleatorio
Parece que incluso cuando estoy tratando de ser un Cliente solamente, tengo que agregar esta regla iptables -A INPUT -p udp --dport 123 -j ACCEPTen mi caso
xi.lin