problem s ntpdate
Jirka Kosina
jikos na jikos.cz
Pátek Duben 25 22:52:01 CEST 2003
On Fri, 25 Apr 2003, Petr Simek wrote:
> > > Povolte si pristup na ntp port (na server kde se cas synchronizuje) na
> > > udp ze serveru na ktery se synchronizujete. Mam pocit ze pri te
> > > synchronizaci se spojeni otvira oboustranne. Ja to v iptables resim
> > > radkem :
> > Máte špatný pocit. Nepovoluji zvenku nic než ESTABLISHED a RELATED
> > a ntpdate mi funguje bez nejmenších problémů (xntpd také). Nehledě
> > na to, že mluvit u UDP komunikace o "spojení" je silně zavádějící.
> A co asi myslite ze znamena to RELATED ? Povoluje Vam spojeni dovnitr
> (nebo chcete-li pristup) na port NTP.
Bud jsem prilis unaveny, nebo mluvite z cesty.
Kdyz se NTP klient na Vasem stroji rozhodne, ze se spoji s NTP serverem v
Internetu, navaze spojeni z nejakeho vysokeho portu (>1024) na ntp port
prislusneho NTP serveru. ESTABLISHED pak pusti dovnitr data, ktera
pritecou od NTP serveru na prislusny vysoky port, aby se NTP klient
dozvedel odpoved.
RELATED se uplatni pouze v pripade connection trackingu (napriklad pro
protokol ftp, irc), nebo pro ICMP error zpravu. V zadnem pripade nedovoli
NTP serveru otevrit automaticky spojeni na muj port 113 ... to by
znamenalo, ze se muzu komukoliv, kdo se pripojuje na moje sshcko
automaticky pripojovat na jeho, byt ho ma sebelepe zafirewallovane a
pousti RELATED packety.
Zajimava predstava, skutecne.
--
JiKos.
Další informace o konferenci Linux