Re: Zeit syncronization ntpdate

To: debianuser <debian-user-german@lists.debian.org>
Subject: Re: Zeit syncronization ntpdate
From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
Date: Mon, 29 Jan 2007 21:53:30 +0300
Message-id: <[🔎] 604c02230701291053t647d3b18gdcc45110e492f5a3@mail.gmail.com>
In-reply-to: <[🔎] 5lvu84-2r9.ln1@news.caroselli.de>
References: <604c02230701270627t34b27eb6j44c2f18ecd156be9@mail.gmail.com> <[🔎] 604c02230701270719g7c1e575btf36e10495e651be7@mail.gmail.com> <[🔎] gbas84-4d.ln1@news.caroselli.de> <[🔎] 604c02230701270852w5d4676dbqdad8d70b176e226e@mail.gmail.com> <[🔎] 45BB9FEF.5000201@holl.co.at> <[🔎] pc1u84-ri8.ln1@news.caroselli.de> <[🔎] 604c02230701280545u6671b5adu277ec350d606cd12@mail.gmail.com> <[🔎] 5lvu84-2r9.ln1@news.caroselli.de>

Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:

Vladislav Vorobiev wrote:
> Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:
>> Gerald Holl wrote:
>> > Vladislav Vorobiev wrote:
>> >> Die firewall war es allerdings auch.
>> >> Das ist etwas seltsam. Ich habe die einträge für IPTABLES
>> >>
>> >> iptables -F
>> >> iptables -A INPUT -i lo -j ACCEPT
>> >> iptables -A INPUT -i eth0 -p tcp --dport 8081 -j REJECT
>> >> (((((diverse port sperungen))))))))))))))
>> >> #Limit bietet Schutz vor "Syn-Flood-Attacken
>> >> iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
>> >> #Schutz vor "Ping of Death":
>> >> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
>> >> 1/s -j ACCEPT
>> >>
>> >> Welcher davon könnte ntpdate blocken?
>> >
>> > Schaut nicht danach aus, dass einer dieser Einträge ntpdate blocken
>> > würde.
>>
>> '(((((diverse port sperungen))))))))))))))' wäre evtl. noch
>> erläuterungsbedürftig.
>
> 8080, 8021, 8099, 8090, 8091. Nicht besonderes. Es werden nur die
> Ports gespaert auf denen meine Instalierten Anwendungen laufen. Nichts
> einfach so aus spass.

Naja, das können aber nicht alle deine Filterregeln sein.
Da du dir aber sicher zu sein scheinst, dass es am Paketfilter liegt
nehme ich an du hast ihn bei deinem Versuch deaktiviert und es
funktionierte danach mit dem ntpdate.


Ja, es hat funktioniert nach dem ich in /etc/services

dies reingeschriben habe

ntp             123/tcp
ntp             123/udp

und Firewall deaktiviert habe iptables -F

Sitzt der Filter auf deiner WS oder auf einem Router (soll heißen, hast
du direkten Zugriff nach außen oder über einen anderen Rechner)?


Ne, ist ein Strato Webserver.

Was sagt ein 'iptables -vnL' bei aktiven Filter auf der Maschine über
die du Verbindung nach außen hast (bzw. auf der Maschine bei der du den
Filter bei deinem Versuch deaktiviert hast)?

Ach ja, wie heißt/en dein/e Schnittstelle/n am entspr. Rechner?


eth0? Oder was meinst du?

iptables -vnL
Chain INPUT (policy ACCEPT 906M packets, 553G bytes)
pkts bytes target     prot opt in     out     source               destination
 15M   16G ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
 550 32692 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8080 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8090 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:9673 reject-with icmp-port-unreachable
 297 14472 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:25 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:9999 reject-with icmp-port-unreachable
  65  3900 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8099 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8098 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8081 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:81 reject-with icmp-port-unreachable
   0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
0.0.0.0/0           tcp dpt:8101 reject-with icmp-port-unreachable

Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
pkts bytes target     prot opt in     out     source               destination
   0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
   0     0 ACCEPT     icmp --  *      *       0.0.0.0/0
0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5

Chain OUTPUT (policy ACCEPT 1537M packets, 1772G bytes)
pkts bytes target     prot opt in     out     source               destination

´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´

nochmal firewall im klartext:

iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A INPUT -i eth0 -p tcp --dport 8080 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 8090 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 9673 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 25 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 9999 -j REJECT
#iptables -A INPUT -i eth0 -p tcp --dport 3306 -j REJECT #mysql
iptables -A INPUT -i eth0 -p tcp --dport 8099 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 8098 -j REJECT

iptables -A INPUT -i eth0 -p tcp --dport 8081 -j REJECT
iptables -A INPUT -i eth0 -p tcp --dport 81 -j REJECT
#iptables -A INPUT -i eth0 -p tcp --dport 8100 -j REJECT #zeo
iptables -A INPUT -i eth0 -p tcp --dport 8101 -j REJECT #zeo
#iptables -A INPUT -i eth0 -p tcp --dport 8105 -j REJECT


#Limit bietet Schutz vor "Syn-Flood-Attacken
iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
#Schutz vor "Ping of Death":
iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
1/s -j ACCEPT
#andere methode.. mit DROP
#iptables -A INPUT -m limit --limit 1/sec --limit-burst 2 -j DROP finden

ps: vieleicht kann jemand zu firewall noch etwas sagen.
Verbesserungsvorschläge et cetera. Ich bin leider kein Experte in
diesem bereich.

Grüß
Vlad

--
Best Regards
Vlad Vorobiev
http://www.mymir.org

Reply to:

Follow-Ups:
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: Andreas Putzo <andreas@inferno.nadir.org>

References:
- Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Gerald Holl <gerald@holl.co.at>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>

Prev by Date: Re: paketauswahl retten
Next by Date: Re: paketauswahl retten
Previous by thread: Re: Zeit syncronization ntpdate
Next by thread: Re: Zeit syncronization ntpdate
Index(es):
- Date
- Thread