題 允許ntp的iptables規則是什麼?


我的服務器時鐘錯誤,因為防火牆不允許ntp流量。 允許ntp客戶端退出和退回所需的iptables規則是什麼?

任何建議如何在Ubuntu上實現這些規則也表示讚賞。


27
2018-05-16 14:07


起源


你的意思是說你的機器可以充當NTP服務器? - Ignacio Vazquez-Abrams
擔任客戶。 - John Mee


答案:


“out and back”表示您是NTP客戶端並希望與服務器通信 我想在默認情況下你可以做到這一點;如果您還沒有設置防火牆來阻止所有內容,並且根本設置了iptables,那麼您將擁有“允許相關/已建立”規則,這意味著可以自動允許回复傳出請求

在任何情況下,NTP都是UDP端口123,因此,假設您是一個CLIENT並且想要訪問NTP服務器,您可以:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

這些將把規則附加到OUTPUT和INPUT鏈的末尾

假設你想成為一個服務器,那你就做了

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

我有一個實現所有防火牆規則的腳本,我從/etc/rc.local調用它,它在我的機器上啟動時運行(ubuntu 8.04 LTS)

編輯:您已澄清這是因為您是客戶。在ubuntu的默認配置中,您不必更改任何防火牆設置來執行此操作。你做了什麼防火牆配置?如果沒有,我傾向於認為這不是防火牆問題。


37
2018-05-16 16:07



該規則存在問題:> iptables -A INPUT -p udp --sport 123 -j ACCEPT根據上述規則,有人可以連接到服務器上的另一個受保護端口,儘管connect不是正確的術語,因為它是udp。一旦找到答案,我將返回並編輯。
就像我說的那樣,大多數客戶端都會有一個“允許相關/已建立”規則 - 這更好,因為它會記錄您的傳出查詢(從端口somethingRandom到端口123)並允許來自端口123的IP傳入數據包到端口somethingRandom只 - frymaster
看來,即使我只想成為客戶,我也必須添加這條規則 iptables -A INPUT -p udp --dport 123 -j ACCEPT 在我的情況下 - xi.lin