agotado el tiempo de espera, nada recibido

9

Lo intenté todo y busqué mucho en Google. Pero no puedo hacer que funcione NTP en mi servidor. Esta publicación es la última esperanza! He instalado ntp en el servidor debian con esta configuración ( /etc/ntp.conf):

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1 noserve nomodify
restrict ::1

Ahora cuando lo intento:

ntpq -pn
127.0.0.1: timed out, nothing received
***Request timed out

Cuando lo intento:

ntpdate -q
9 Mar 18:08:01 ntpdate[27896]: no servers can be used, exiting

Pero con:

ntpdate -d 0.it.pool.ntp.org

Recibo los paquetes entrantes y establezco la compensación de tiempo. Esto me llevó a una configuración incorrecta de ntp.conf .

Alguna pista de por qué está sucediendo esto.

Prueba
fuente
¿Qué archivo estás mostrando? Es eso /etc/ntp.conf? ¿Estás seguro de esos servidores NTP? Prueba Debian's, mi (trabajando) ntp.conf está aquí .
terdon
Sí, es ntp.conf. Lo intentaré con los servidores de Debian. Gracias
Prueba
No, siempre los mismos errores.
Prueba
Suponiendo que reinició ntpd después de hacer estos cambios, ¿es correcto? service ntpd restart.
slm
1
Además, sus líneas de restricción son raras ... Mire support.ntp.org/bin/view/Support/AccessRestrictions
derobert

Respuestas:

3

Si ninguno de los servidores NTP que intenta parece responder, es probable que un firewall bloquee las solicitudes salientes o las respuestas entrantes.

NTP utiliza el puerto UDP 123. Puede verificar si las solicitudes salientes están siendo bloqueadas ejecutando traceroute en ese puerto. Dependiendo de su implementación de traceroute, esto puede ser algo así traceroute -p 123 0.it.pool.ntp.org(Debian incluye varias implementaciones de traceroute, check traceroute --helpo man tracerouteen su sistema). Si las solicitudes entrantes están bloqueadas pero las solicitudes salientes pasan, no creo que pueda diagnosticar dónde están bloqueadas sin acceso a una máquina fuera de su red (si tiene acceso a esa máquina, ejecute traceroute -p 123 your.ip.address). Tenga en cuenta que si tiene una dirección IP privada , poder usar NTP requiere la cooperación de su administrador de red (específicamente, soporte NTP en el dispositivo NAT ).

Si ha configurado un firewall en su máquina, asegúrese de que deje pasar a NTP. La manera simple es permitir todo el tráfico en el puerto UDP 123:

iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

(Es posible que desee agregar -d/ -sdirectivas para restringir a una dirección IP particular o un conjunto de direcciones IP. Tenga en cuenta que si lo hace, deberá actualizar estas reglas si los servidores NTP en el grupo que está usando cambian las direcciones IP .)

Si el tráfico NTP está bloqueado en algún lugar entre su máquina e Internet, comuníquese con su administrador de red. Es probable que haya una máquina de retransmisión que pueda usar como su servidor NTP.

Gilles
fuente
Es probable que su proveedor de alojamiento / ISP bloquee el tráfico NTP externo. Este es un enfoque de mano dura para prevenir DDOS. Pregúntele a su ISP a qué servidores ntp internos puede conectarse.
dfc
1
@dfc En mi experiencia, los firewalls corporativos bloquean NTP como parte del bloqueo de todos los UDP o como consecuencia natural de NAT, pero los ISP no (excepto los que usan NAT). Pero, de hecho, si su ISP bloquea el NTP entrante, debe proporcionar un servidor NTP en su red.
Gilles
Ya había agregado estas reglas a iptables, pero aún el mismo error. Extrañamente con: ntpdate -d 0.it.pool.ntp.org, funciona. Así que creo que es ntp.conf.
Prueba
@Gilles es "su experiencia" teniendo en cuenta la reciente ola de ataques DDoS que usan ntp? Hace un año estaría de acuerdo con tu comentario. Sin embargo, después de las recientes oleadas de ataques, el filtrado ntp es mucho más común de lo que piensas.
dfc
@BojanVidanovic No tiene ningún sentido que funcione con ntpdate y no con ntp. Cuando funciona con ntpdate, debe anotar la dirección IP que devolvió cada respuesta e intentar ponerla en ntp.conf. La respuesta DNS para la dirección pool.ntp.org variará dependiendo de la cantidad de servidores en los que el grupo supervise las tareas actualmente, además de alguna pseudoaleatorización en el demonio dns.
dfc
3

Por lo que puedo decir, su pregunta es "¿Por qué ntpq -pnno funciona como esperaba?"

Cambia esta línea:

restrict 127.0.0.1 noserve nomodify

volviendo a lo que era originalmente:

restrict 127.0.0.1

Ahora ntpq -pnfuncionará.

FYI: ::1es la versión IPv6 de127.0.0.1

Configuración actualizada:

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1
restrict ::1
dfc
fuente
127.0.0.1: se agotó el tiempo de espera, no se recibió nada *** Se agotó el tiempo de espera de la solicitud
prueba del
¿Actualizó su /etc/ntp.conf a lo que se muestra arriba y reinició ntp y recibió el mensaje de tiempo de espera agotado? ¿Cuál es la salida de netstat -laun?
dfc
¡Muchas gracias! También he agregado "Restringir localhost" al final de las restricciones
Vagner do Carmo
1

Su problema parece estar en la selección de esos 2 servidores en estas 2 líneas de su archivo de configuración:

server ntp1.inrim.it iburst
server ntp2.inrim.it iburst

Cuando trato de consultar cualquiera de ellos, también recibo tu error:

$ sudo ntpq -p ntp1.inrim.it
ntp1.inrim.it: timed out, nothing received
***Request timed out

$ sudo ntpq -p ntp2.inrim.it
ntp2.inrim.it: timed out, nothing received
***Request timed out

Intentaría seleccionar algunos servidores diferentes para empezar.

Esos servidores?

Cuando busqué en Google sus nombres, encontré esta página titulada: Come configre il vostro NTP . Hubo otro servidor que no funcionó mencionado allí tampoco:

$ sudo ntpq -p host2.miaditta.it 
host2.miaditta.it: timed out, nothing received
***Request timed out

Estos servidores parecen ser el problema.

Cifrado?

Si observa más abajo esa URL anterior que mencioné, discuten el uso del cifrado, es posible que deba habilitarlo para acceder a esos servidores NTP.

Consejos de depuración

Pude conectarme con éxito a ambos iburstservidores usando este comando:

$ ntpdate -d <server>
Ejemplo
$ ntpdate -d ntp1.inrim.it
 9 Mar 21:01:37 ntpdate[20739]: ntpdate [email protected] Tue Apr  2 17:47:01 UTC 2013 (1)
Looking for host ntp1.inrim.it and service ntp
host found : ntp1.inrim.it
transmit(193.204.114.232)
receive(193.204.114.232)
...
server 193.204.114.232, port 123
stratum 1, precision -22, leap 00, trust 000
refid [CTD], delay 0.19319, dispersion 0.00084
transmitted 4, in filter 4
reference time:    d6c78d79.f0206119  Sun, Mar  9 2014 21:01:45.937
originate timestamp: d6c78d7e.55ab5b4b  Sun, Mar  9 2014 21:01:50.334
transmit timestamp:  d6c78d77.7e9b8296  Sun, Mar  9 2014 21:01:43.494
filter delay:  0.19460  0.19710  0.19453  0.19319 
         0.00000  0.00000  0.00000  0.00000 
filter offset: 6.755368 6.757349 6.755239 6.756265
         0.000000 0.000000 0.000000 0.000000
delay 0.19319, dispersion 0.00084
offset 6.756265

 9 Mar 21:01:43 ntpdate[20739]: step time server 193.204.114.232 offset 6.756265 sec

Por lo tanto, parece que su problema es realmente algo mal con su ntp.confarchivo. Confirme que este es el caso y podemos continuar con la depuración.

slm
fuente
Sí, no usaré esos servidores, pero agregué debian.pool.ntp.org, y todavía obtengo el tiempo de espera agotado. O it.pool.ntp.org, que funciona, me da el mismo error. En este punto, creo que algo está bloqueando NTP.
Prueba
si intento: ntpdate 0.debian.pool.ntp.org, funciona.
Prueba
Sí, con: ntpdate -d ntp1.inrim.it veo los mismos resultados que los suyos. Entonces probablemente sea ntp.conf.
Prueba
1
@BojanVidanovic: sí, sí, es probable que el problema sea tuyo ntp.conf. Entonces este es un buen progreso. Sacaría la mayor parte de las líneas, excepto las del servidor, para depurar esto aún más.
slm
1
Los cambios a ntpd, agregando -dopciones agregarán más, y -D levelhabilitarán INFO, TRACE, DEBUG, etc.
slm
0

En mi caso, el adaptador de bucle invertido estaba deshabilitado en el sistema. Después de habilitarlo, el problema se resolvió. Ver / etc / network / interfaces file.

lehab
fuente
0

Por lo que veo, has configurado un SERVIDOR NTP pero lo estás apuntando a una PISCINA

server 0.pool.ntp.org

Tratar:

pool 0.pool.ntp.org

en su lugar, o use "servidor" con un servidor dedicado, no un grupo.

ronator
fuente