Re: Zeit syncronization ntpdate
Vladislav Vorobiev wrote:
> Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:
>> Naja, das können aber nicht alle deine Filterregeln sein.
>> Da du dir aber sicher zu sein scheinst, dass es am Paketfilter liegt
>> nehme ich an du hast ihn bei deinem Versuch deaktiviert und es
>> funktionierte danach mit dem ntpdate.
>
> Ja, es hat funktioniert nach dem ich in /etc/services
>
> dies reingeschriben habe
>
> ntp 123/tcp
> ntp 123/udp
>
> und Firewall deaktiviert habe iptables -F
>
>> Sitzt der Filter auf deiner WS oder auf einem Router (soll heißen, hast
>> du direkten Zugriff nach außen oder über einen anderen Rechner)?
>
> Ne, ist ein Strato Webserver.
Ich bin davon ausgegangen, das du über den Rechner Online gehst (die
FORWARD chain hat mich irritiert).
>> Was sagt ein 'iptables -vnL' bei aktiven Filter auf der Maschine über
>> die du Verbindung nach außen hast (bzw. auf der Maschine bei der du den
>> Filter bei deinem Versuch deaktiviert hast)?
>>
>> Ach ja, wie heißt/en dein/e Schnittstelle/n am entspr. Rechner?
>
> eth0? Oder was meinst du?
Ja, meinte ich. Hätte ja sein können, dass du über ppp verbunden bist,
da greifen Regeln auf ethX nicht.
> iptables -vnL
> Chain INPUT (policy ACCEPT 906M packets, 553G bytes)
> pkts bytes target prot opt in out source destination
> 15M 16G ACCEPT 0 -- lo * 0.0.0.0/0 0.0.0.0/0
> 550 32692 REJECT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:8080 reject-with icmp-port-unreachable
[...]
> 0 0 REJECT tcp -- eth0 * 0.0.0.0/0
> 0.0.0.0/0 tcp dpt:8101 reject-with icmp-port-unreachable
>
> Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
> pkts bytes target prot opt in out source destination
> 0 0 ACCEPT tcp -- * * 0.0.0.0/0
> 0.0.0.0/0 tcp flags:0x17/0x02 limit: avg 1/sec burst 5
> 0 0 ACCEPT icmp -- * * 0.0.0.0/0
> 0.0.0.0/0 icmp type 8 limit: avg 1/sec burst 5
Die FORWARD benötigst du nicht, wenn der Rechner nicht als Router arbeitet.
> Chain OUTPUT (policy ACCEPT 1537M packets, 1772G bytes)
> pkts bytes target prot opt in out source destination
>
> ´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´
>
> nochmal firewall im klartext:
>
> iptables -F
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 8080 -j REJECT
[...]
> #iptables -A INPUT -i eth0 -p tcp --dport 8105 -j REJECT
Also anhand dieser Regeln dürfte Port 123 nicht gesperrt werden.
> #Limit bietet Schutz vor "Syn-Flood-Attacken
> iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
> #Schutz vor "Ping of Death":
> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT
Wie oben, FORWARD benötigst du nur wenn du routen willst.
> ps: vieleicht kann jemand zu firewall noch etwas sagen.
> Verbesserungsvorschläge et cetera. Ich bin leider kein Experte in
> diesem bereich.
Naja, vielleicht hilft dir hiervon etwas:
http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.cert.dfn.de/team/ue/fw/workshop/node3.html
http://www.gehrigal.de/service/mirror/sekurity.de/
http://www.firewallinfo.de/index.php
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://netfilter.org/
http://www.pl-berichte.de/work/firewall/index.html
http://www.pl-forum.de/t_netzwerk/iptables.html
(Habe ich jetzt einfach aus meinen Bookmarks kopiert, die Reihenfolge
hat keine Bewandtnis!)
Ansonsten als letzte Idee: Lösche die Regeln und nimm sie einzeln wieder
auf. Da siehst du welche stört, und kannst gezielt danach suchen.
HTH:( und Gruß, Michel
--
Reply to: