Re: NTP et firewall

[Sylvain <sylvain@sylar.org>]

> Peut-être une option -u (utilisation d'un port source non privilégié au 
> lieu de 123) qui traîne quelque part, par exemple dans 
> /etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle 
> de cla chaîne OUTPUT ?

Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans 
le seul fichier de conf de ntp que j'ai trouvé, à savoir justement 
/etc/default/ntpdate :

# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.

# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes

# List of NTP servers to use  (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org 
2.debian.pool.ntp.org 3.debian.pool.ntp.org"

# Additional options to pass to ntpdate
NTPOPTIONS=""


J'ai enlevé également l'option --sport dans mes règles iptables, sans 
plus de résultat. Du coup, il ne me reste plus que :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne 
servait à rien.


> Note : la règle dans la chaîne INPUT est inutile puisque la chaîne 
> contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même 
> chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne 
> OUTPUT, d'ailleurs.

Je sais, je sais, mais quand je disais :
> J'ai essayé plein de trucs, sans effet
je n'ai pas dit que c'était des trucs très ... intelligents ;-)

Donc, pour l'instant, je récupère toujours des :
19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not 
permitted

Merci de votre aide en tout cas !

--
Sylvain