Tham gia Đăng nhập
Điểm:0
user278965 avatar Ubuntu

iptables với NTP

lá cờ ro
user278965

tôi đang dùng iptables để lọc lưu lượng truy cập và cũng niên đại để đồng bộ hóa thời gian hệ thống. Tuy nhiên, tôi không làm cho nó hoạt động, bằng cách nào đó niên đại không thể truy cập máy chủ NTP.

Đây là quy tắc iptables của tôi:

# iptables -S
-P ĐẦU VÀO THẢ
-P VỀ PHÍA TRƯỚC DROP
-P ĐẦU RA THẢ
-A INPUT -i eth0 -p udp -m udp --dport 123 -j CHẤP NHẬN
-A OUTPUT -o eth0 -p udp -m udp --sport 123 -j CHẤP NHẬN

Và đây là tôi đang cố gắng đồng bộ hóa thời gian hệ thống:

# chronyd -4 -q 'máy chủ 0.openembedded.pool.ntp.org iburst'
2021-01-27T09:06:15Z phiên bản chronyd 3.5 bắt đầu (+CMDMON +NTP +REFCLOCK +RTC -PRIVDROP -SCFILTER -SIGND +ASYNCDNS -SECHASH +IPV6 -DEBUG)
2021-01-27T09:06:15Z Không có nguồn phù hợp để đồng bộ hóa
2021-01-27T09:06:15Z chronyd thoát

Khi tôi xóa tất cả các quy tắc, lệnh đồng bộ hóa ở trên sẽ hoạt động mà không gặp bất kỳ sự cố nào.

113
0 + 0
ntp
Điểm:1
Doug Smythies avatar Ubuntu
lá cờ gn
Doug Smythies

Khi máy tính của bạn cố gắng truy cập máy chủ NTP, cổng nguồn sẽ không xác định được và đích trên máy chủ sẽ là 123. Vì vậy, điều ngược lại với những gì bạn hiện có. Thay vào đó hãy làm điều này:

# iptables -S
-P ĐẦU VÀO THẢ
-P VỀ PHÍA TRƯỚC DROP
-P ĐẦU RA THẢ
-A INPUT -i eth0 -p udp -m udp --sport 123 -j CHẤP NHẬN
-A ĐẦU RA -o eth0 -p udp -m udp --dport 123 -j CHẤP NHẬN

CHỈNH SỬA: Từ câu hỏi bình luận:

Đối với chuỗi INPUT --thể thao 123 có nghĩa là cổng trên máy từ xa và cho chuỗi OUTPUT --dport 123 có nghĩa là cổng trên máy từ xa.

Một quy tắc có thể hoạt động trên nhiều giao diện mạng bằng cách không chỉ định giao diện mạng, mặc dù tôi không hiểu tại sao bạn lại muốn làm điều đó. Vì vậy (chưa được kiểm tra):

-A INPUT -p udp -m udp --sport 123 -j CHẤP NHẬN
-A ĐẦU RA -p udp -m udp --dport 123 -j CHẤP NHẬN
0 + 0
Doug Smythies avatar
lá cờ gn
Doug Smythies
đã chỉnh sửa câu trả lời để bao gồm các câu trả lời khác.
0
Hồi đáp
Jags avatar
lá cờ kp
Jags
Cảm ơn bạn rất nhiều vì đã làm rõ @doug-smythies
0
Hồi đáp
user278965 avatar
lá cờ ro
user278965
@DougSmythies Tôi cũng đã thử nhưng nó không hoạt động (lệnh chronyd không thành công như trước). FYI: Chúng tôi có hai giao diện và chỉ muốn đồng bộ hóa thời gian trên eth0 (mặc dù tôi đã thử mà không có eth0, kết quả vẫn như vậy).
0
Hồi đáp
user278965 avatar
lá cờ ro
user278965
Tôi cũng phải kích hoạt cổng 53 để tra cứu DNS, sau đó nó hoạt động.
0
Hồi đáp
Doug Smythies avatar
lá cờ gn
Doug Smythies
Vâng, tôi muốn đề cập rằng bạn có thể cần phải cho phép một số thứ khác hoạt động ở mức tối thiểu. Tôi cho rằng bạn đang sử dụng địa chỉ IP tĩnh, nếu không, bạn sẽ cần cho phép các cổng 67 và 68. Thông thường, một cổng cho phép mọi lưu lượng gửi đi và LIÊN QUAN, THÀNH LẬP gửi đến.
0
Hồi đáp
lá cờ VietNam
Phan Văn Trường
Câu hỏi này là trong các ngôn ngữ khác:

Đăng câu trả lời

Hầu hết mọi người không hiểu rằng việc đặt nhiều câu hỏi sẽ mở ra cơ hội học hỏi và cải thiện mối quan hệ giữa các cá nhân. Ví dụ, trong các nghiên cứu của Alison, mặc dù mọi người có thể nhớ chính xác có bao nhiêu câu hỏi đã được đặt ra trong các cuộc trò chuyện của họ, nhưng họ không trực giác nhận ra mối liên hệ giữa câu hỏi và sự yêu thích. Qua bốn nghiên cứu, trong đó những người tham gia tự tham gia vào các cuộc trò chuyện hoặc đọc bản ghi lại các cuộc trò chuyện của người khác, mọi người có xu hướng không nhận ra rằng việc đặt câu hỏi sẽ ảnh hưởng—hoặc đã ảnh hưởng—mức độ thân thiện giữa những người đối thoại.