Accès Premium
GNT sans publicité, site mobile, fonctionnalitées exclusives...
Rejoignez-nous !
Forums Linux Linux Debian

NTP et firewall

Le
Sylvain
Bonsoir à la liste,

J'ai quelques problèmes avec iptables et ntpdate je récupère
systématiquement :

21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(ns36945.ovh.net): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(time.digimedia.fr): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(loin.ploup.net): Operation not
permitted

Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.

Pourtant, j'ai les règles suivantes dans mon firewall :

iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT

Une idée d'où vient le problème ? J'ai essayé plein de trucs, sans effet

Pour info, un iptables -L -n -v me donne :

Chain INPUT (policy DROP 9 packets, 2021 bytes)
pkts bytes target prot opt in out source
destination
20 1670 ACCEPT 0 -- lo * 0.0.0.0/0
0.0.0.0/0
314 25180 ACCEPT 0 -- eth0 * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- eth0 * 91.121.75.251
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.50.98
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.45.4
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.251.184.9
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.33.13
0.0.0.0/0
2 168 ACCEPT icmp -- eth0 * 91.121.75.250
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 20/sec burst 100
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- etho * 0.0.0.0/0
0.0.0.0/0 udp spt:123 dpt:123 state ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:993

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy DROP 6 packets, 456 bytes)
pkts bytes target prot opt in out source
destination
20 1670 ACCEPT 0 -- * lo 0.0.0.0/0
0.0.0.0/0
181 24039 ACCEPT 0 -- * eth0 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
15 805 ACCEPT udp -- * eth0 0.0.0.0/0
91.121.75.251
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 20/sec burst 100
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * etho 0.0.0.0/0
0.0.0.0/0 udp spt:123 dpt:123 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpts:33200:33500
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:80 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:443 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:21 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:2345 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:25 state NEW

Merci !

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Lire les 11 réponses

Questions / Réponses high-tech
Poser une question
Vidéos High-Tech et Jeu Vidéo
Plus de vidéos
Téléchargements
Plus de téléchargements
Vos réponses Page 1 / 3
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #9625061
Salut,

Sylvain a écrit :

J'ai quelques problèmes avec iptables et ntpdate ... je récupère
systématiquement :

21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not
permitted


[...]
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.

Pourtant, j'ai les règles suivantes dans mon firewall :

iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT

Une idée d'où vient le problème ?



Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?

Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.

J'ai essayé plein de trucs, sans effet



Comme quoi, histoire de ne pas perdre de temps et de bande passante à
les proposer ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Jean-Michel OLTRA
Le #9625051
Bonjour,


Le dimanche 18 novembre 2007, Sylvain a écrit...


iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state
ESTABLISHED -j ACCEPT




Il me semble que ntpdate attaque le port 123 en dport, mais à partir
d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la
chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Sylvain
Le #9625041
> Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?



Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans
le seul fichier de conf de ntp que j'ai trouvé, à savoir justement
/etc/default/ntpdate :

# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.

# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes

# List of NTP servers to use (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org
2.debian.pool.ntp.org 3.debian.pool.ntp.org"

# Additional options to pass to ntpdate
NTPOPTIONS=""


J'ai enlevé également l'option --sport dans mes règles iptables, sans
plus de résultat. Du coup, il ne me reste plus que :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.


Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.



Je sais, je sais, mais quand je disais :
J'ai essayé plein de trucs, sans effet


je n'ai pas dit que c'était des trucs très ... intelligents ;-)

Donc, pour l'instant, je récupère toujours des :
19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not
permitted

Merci de votre aide en tout cas !

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Jean-Michel OLTRA
Le #9625031
Bonjour,


Le lundi 19 novembre 2007, Sylvain a écrit...


pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.



Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Sylvain
Le #9625021
> Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !



Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT

Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne
toujours pas ...)

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Répondre en citant
Publicité
Suivre les réponses
Poster une réponse
Anonyme