[RESOLU] Re: firewall et ntp
Jean-Michel OLTRA wrote:
bonjour,
Le dimanche 18 décembre 2005, Bayrouni a écrit...
#iptables -I INPUT 1 -m udp -p udp -s 0/0 --sport
123 -d 0/0 --dport 123 -j ACCEPT
fin de citation
C'est un peu bizarre comme règle : on part du principe qu'un paquet est
accepté si il provient du port 123 (--sport 123) et qu'il est destiné au
port 123 (--dport 123). C'est l'un ou l'autre, suivant si la machine
possède un serveur de temps ou contacte un serveur de temps.
Oui, je n'osais pas le dire (règle bizarre).
Si la machine doit contacter un serveur de temps elle doit pouvoir faire
sortir des paquets à destination du port 123 (OUTPUT), mais également
permettre à ces paquets de « revenir », donc en provenance du port 123,
mais cette fois ce en INPUT.
En effet, j'ai suivi cette logique et le resultat
est probant:
PC A (gateway):
##################
iptables --append INPUT --match tcp --protocol tcp
--source 0/0 --sport 123 --jump ACCEPT
iptables --append INPUT --match udp --protocol udp
--source 0/0 --sport 123 --jump ACCEPT
iptables --append OUTPUT --match tcp --protocol
tcp --destination 0/0 --dport 123 --jump ACCEPT
iptables --append OUTPUT --match udp --protocol
udp --destination 0/0 --dport 123 --jump ACCEPT
PC B (client de A):
######################
iptables --append INPUT --match tcp --protocol tcp
--source 192.168.0.1 --sport 123 --jump ACCEPT
iptables --append INPUT --match udp --protocol udp
--source 192.168.0.1 --sport 123 --jump ACCEPT
iptables --append OUTPUT --match tcp --protocol
tcp --destination 192.168.0.1 --dport 123 --jump
ACCEPT
iptables --append OUTPUT --match udp --protocol
udp --destination 192.168.0.1 --dport 123 --jump
ACCEPT
#######################################################"
les differents utilitaires ntp prouvent que A se
synchronise sur le serveur ntp internet
et que B se synchronise sur le serveur A local
Merci Jean Michel Oltra
Bayrouni
Reply to: