Re: Zeit syncronization ntpdate
Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:
Vladislav Vorobiev wrote:
> Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:
>> Gerald Holl wrote:
>> > Vladislav Vorobiev wrote:
>> >> Die firewall war es allerdings auch.
>> >> Das ist etwas seltsam. Ich habe die einträge für IPTABLES
>> >>
>> >> iptables -F
>> >> iptables -A INPUT -i lo -j ACCEPT
>> >> iptables -A INPUT -i eth0 -p tcp --dport 8081 -j REJECT
>> >> (((((diverse port sperungen))))))))))))))
>> >> #Limit bietet Schutz vor "Syn-Flood-Attacken
>> >> iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
>> >> #Schutz vor "Ping of Death":
>> >> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
>> >> 1/s -j ACCEPT
>> >>
>> >> Welcher davon könnte ntpdate blocken?
>> >
>> > Schaut nicht danach aus, dass einer dieser Einträge ntpdate blocken
>> > würde.
>>
>> '(((((diverse port sperungen))))))))))))))' wäre evtl. noch
>> erläuterungsbedürftig.
>
> 8080, 8021, 8099, 8090, 8091. Nicht besonderes. Es werden nur die
> Ports gespaert auf denen meine Instalierten Anwendungen laufen. Nichts
> einfach so aus spass.
Naja, das können aber nicht alle deine Filterregeln sein.
Da du dir aber sicher zu sein scheinst, dass es am Paketfilter liegt
nehme ich an du hast ihn bei deinem Versuch deaktiviert und es
funktionierte danach mit dem ntpdate.
Ja, es hat funktioniert nach dem ich in /etc/services
dies reingeschriben habe
ntp 123/tcp
ntp 123/udp
und Firewall deaktiviert habe iptables -F
Sitzt der Filter auf deiner WS oder auf einem Router (soll heißen, hast
du direkten Zugriff nach außen oder über einen anderen Rechner)?
Ne, ist ein Strato Webserver.
Was sagt ein 'iptables -vnL' bei aktiven Filter auf der Maschine über
die du Verbindung nach außen hast (bzw. auf der Maschine bei der du den
Filter bei deinem Versuch deaktiviert hast)?
Ach ja, wie heißt/en dein/e Schnittstelle/n am entspr. Rechner?
eth0? Oder was meinst du?
iptables -vnL
Chain INPUT (policy ACCEPT 906M packets, 553G bytes)
pkts bytes target prot opt in out source destination
15M 16G ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
550 32692 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8080 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8090 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:9673 reject-with icmp-port-unreachable
297 14472 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:25 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:9999 reject-with icmp-port-unreachable
65 3900 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8099 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8098 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8081 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:81 reject-with icmp-port-unreachable
0 0 REJECT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:8101 reject-with icmp-port-unreachable
Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target prot opt in out source destination
0 0 ACCEPT tcp -- * * 0.0.0.0/0
0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
0 0 ACCEPT icmp -- * * 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
Chain OUTPUT (policy ACCEPT 1537M packets, 1772G bytes)
pkts bytes target prot opt in out source destination
´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´
nochmal firewall im klartext:
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 8090 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 9673 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 9999 -j REJECT
#iptables -A INPUT -i eth0 -p tcp --dport 3306 -j REJECT #mysql
iptables -A INPUT -i eth0 -p tcp --dport 8099 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 8098 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 8081 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 81 -j REJECT
#iptables -A INPUT -i eth0 -p tcp --dport 8100 -j REJECT #zeo
iptables -A INPUT -i eth0 -p tcp --dport 8101 -j REJECT #zeo
#iptables -A INPUT -i eth0 -p tcp --dport 8105 -j REJECT
#Limit bietet Schutz vor "Syn-Flood-Attacken
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Schutz vor "Ping of Death":
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
#andere methode.. mit DROP
#iptables -A INPUT -m limit --limit 1/sec --limit-burst 2 -j DROP finden
ps: vieleicht kann jemand zu firewall noch etwas sagen.
Verbesserungsvorschläge et cetera. Ich bin leider kein Experte in
diesem bereich.
Grüß
Vlad
--
Best Regards
Vlad Vorobiev
http://www.mymir.org
Reply to: