Re: Zeit syncronization ntpdate

To: debian-user-german@lists.debian.org
Subject: Re: Zeit syncronization ntpdate
From: Michelino Caroselli <m04news@caroselli.de>
Date: Tue, 30 Jan 2007 13:47:10 +0100
Message-id: <[🔎] fbr394-3o3.ln1@news.caroselli.de>
In-reply-to: <[🔎] 604c02230701291053t647d3b18gdcc45110e492f5a3@mail.gmail.com>
References: <604c02230701270627t34b27eb6j44c2f18ecd156be9@mail.gmail.com> <[🔎] 604c02230701270719g7c1e575btf36e10495e651be7@mail.gmail.com> <[🔎] gbas84-4d.ln1@news.caroselli.de> <[🔎] 604c02230701270852w5d4676dbqdad8d70b176e226e@mail.gmail.com> <[🔎] 45BB9FEF.5000201@holl.co.at> <[🔎] pc1u84-ri8.ln1@news.caroselli.de> <[🔎] 604c02230701280545u6671b5adu277ec350d606cd12@mail.gmail.com> <[🔎] 5lvu84-2r9.ln1@news.caroselli.de> <[🔎] 604c02230701291053t647d3b18gdcc45110e492f5a3@mail.gmail.com>

Vladislav Vorobiev wrote:
> Am 28.01.07 schrieb Michelino Caroselli <m04news@caroselli.de>:
>> Naja, das können aber nicht alle deine Filterregeln sein.
>> Da du dir aber sicher zu sein scheinst, dass es am Paketfilter liegt
>> nehme ich an du hast ihn bei deinem Versuch deaktiviert und es
>> funktionierte danach mit dem ntpdate.
> 
> Ja, es hat funktioniert nach dem ich in /etc/services
> 
> dies reingeschriben habe
> 
> ntp             123/tcp
> ntp             123/udp
> 
> und Firewall deaktiviert habe iptables -F
> 
>> Sitzt der Filter auf deiner WS oder auf einem Router (soll heißen, hast
>> du direkten Zugriff nach außen oder über einen anderen Rechner)?
> 
> Ne, ist ein Strato Webserver.

Ich bin davon ausgegangen, das du über den Rechner Online gehst (die
FORWARD chain hat mich irritiert).

>> Was sagt ein 'iptables -vnL' bei aktiven Filter auf der Maschine über
>> die du Verbindung nach außen hast (bzw. auf der Maschine bei der du den
>> Filter bei deinem Versuch deaktiviert hast)?
>>
>> Ach ja, wie heißt/en dein/e Schnittstelle/n am entspr. Rechner?
> 
> eth0? Oder was meinst du?

Ja, meinte ich. Hätte ja sein können, dass du über ppp verbunden bist,
da greifen Regeln auf ethX nicht.

> iptables -vnL
> Chain INPUT (policy ACCEPT 906M packets, 553G bytes)
>  pkts bytes target     prot opt in     out     source               destination
>   15M   16G ACCEPT     0    --  lo     *       0.0.0.0/0            0.0.0.0/0
>   550 32692 REJECT     tcp  --  eth0   *       0.0.0.0/0
> 0.0.0.0/0           tcp dpt:8080 reject-with icmp-port-unreachable
[...]
>     0     0 REJECT     tcp  --  eth0   *       0.0.0.0/0
> 0.0.0.0/0           tcp dpt:8101 reject-with icmp-port-unreachable
> 
> Chain FORWARD (policy ACCEPT 0 packets, 0 bytes)
>  pkts bytes target     prot opt in     out     source               destination
>     0     0 ACCEPT     tcp  --  *      *       0.0.0.0/0
> 0.0.0.0/0           tcp flags:0x17/0x02 limit: avg 1/sec burst 5
>     0     0 ACCEPT     icmp --  *      *       0.0.0.0/0
> 0.0.0.0/0           icmp type 8 limit: avg 1/sec burst 5

Die FORWARD benötigst du nicht, wenn der Rechner nicht als Router arbeitet.

> Chain OUTPUT (policy ACCEPT 1537M packets, 1772G bytes)
>  pkts bytes target     prot opt in     out     source               destination
> 
> ´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´´
> 
> nochmal firewall im klartext:
> 
> iptables -F
> iptables -A INPUT -i lo -j ACCEPT
> iptables -A INPUT -i eth0 -p tcp --dport 8080 -j REJECT
[...]
> #iptables -A INPUT -i eth0 -p tcp --dport 8105 -j REJECT

Also anhand dieser Regeln dürfte Port 123 nicht gesperrt werden.

> #Limit bietet Schutz vor "Syn-Flood-Attacken
> iptables -A FORWARD -p tcp --syn -m limit --limit 1/s -j ACCEPT
> #Schutz vor "Ping of Death":
> iptables -A FORWARD -p icmp --icmp-type echo-request -m limit --limit
> 1/s -j ACCEPT

Wie oben, FORWARD benötigst du nur wenn du routen willst.

> ps: vieleicht kann jemand zu firewall noch etwas sagen.
> Verbesserungsvorschläge et cetera. Ich bin leider kein Experte in
> diesem bereich.

Naja, vielleicht hilft dir hiervon etwas:

http://www.iks-jena.de/mitarb/lutz/usenet/Firewall.html
http://www.cert.dfn.de/team/ue/fw/workshop/node3.html
http://www.gehrigal.de/service/mirror/sekurity.de/
http://www.firewallinfo.de/index.php
http://iptables-tutorial.frozentux.net/iptables-tutorial.html
http://netfilter.org/
http://www.pl-berichte.de/work/firewall/index.html
http://www.pl-forum.de/t_netzwerk/iptables.html

(Habe ich jetzt einfach aus meinen Bookmarks kopiert, die Reihenfolge
hat keine Bewandtnis!)

Ansonsten als letzte Idee: Lösche die Regeln und nimm sie einzeln wieder
auf. Da siehst du welche stört, und kannst gezielt danach suchen.

HTH:( und Gruß, Michel
--

Reply to:

References:
- Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Gerald Holl <gerald@holl.co.at>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>
- Re: Zeit syncronization ntpdate
  - From: Michelino Caroselli <m04news@caroselli.de>
- Re: Zeit syncronization ntpdate
  - From: "Vladislav Vorobiev" <mymir.org@googlemail.com>

Prev by Date: Re: Mail-Spur
Next by Date: Re: Dateisystemfehler
Previous by thread: Re: Zeit syncronization ntpdate
Next by thread: Re: Zeit syncronization ntpdate
Index(es):
- Date
- Thread