problem s ntpdate
Jirka Kosina
jikos na jikos.cz
Pátek Duben 25 23:11:36 CEST 2003
On Fri, 25 Apr 2003, Petr Simek wrote:
> > Internetu, navaze spojeni z nejakeho vysokeho portu (>1024) na ntp port
> > prislusneho NTP serveru. ESTABLISHED pak pusti dovnitr data, ktera
> > pritecou od NTP serveru na prislusny vysoky port, aby se NTP klient
> > dozvedel odpoved.
> Ehm - skuste si to chtit tcpdumpem. Ten ntp klient komunikuje ze 123.
No, kdyz to pouziva UDP, proc ne. To je to same, jen ten port neni tedy
nad 1024, ale primo port te sluzby, to mate pravdu. To neni nic proti
nicemu - neustale plati, ze je zbytecne explicitne otevirat zvenku pristup
na port ntp, kdyz staci povolit ESTABLISHED.
> > RELATED se uplatni pouze v pripade connection trackingu (napriklad pro
> > protokol ftp, irc), nebo pro ICMP error zpravu. V zadnem pripade nedovoli
> > NTP serveru otevrit automaticky spojeni na muj port 113 ... to by
> Asi tam melo byt ESTABLISHED , ale jde prave o to povoleni pristupu
> na port 113 protoze z nej ten ntpdate otvira spojeni.
Ano. A je jedno, jestli je to port 113, 123, 666 nebo 2048 - to vam muze
byt srdecne jedno, pokud povolite pouze packety vztahujici se k danemu
"spojeni" (nebo spise "toku", v pripade UDP).
--
JiKos.
Další informace o konferenci Linux