NTP et firewall

Le
Sylvain
Bonsoir à la liste,

J'ai quelques problèmes avec iptables et ntpdate je récupère
systématiquement :

21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(ns36945.ovh.net): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(time.digimedia.fr): Operation not
permitted
18 Nov 21:53:27 ntpdate[24136]: sendto(loin.ploup.net): Operation not
permitted

Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.

Pourtant, j'ai les règles suivantes dans mon firewall :

iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT

Une idée d'où vient le problème ? J'ai essayé plein de trucs, sans effet

Pour info, un iptables -L -n -v me donne :

Chain INPUT (policy DROP 9 packets, 2021 bytes)
pkts bytes target prot opt in out source
destination
20 1670 ACCEPT 0 -- lo * 0.0.0.0/0
0.0.0.0/0
314 25180 ACCEPT 0 -- eth0 * 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
0 0 ACCEPT udp -- eth0 * 91.121.75.251
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.50.98
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.45.4
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.251.184.9
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 213.186.33.13
0.0.0.0/0
2 168 ACCEPT icmp -- eth0 * 91.121.75.250
0.0.0.0/0
0 0 ACCEPT icmp -- eth0 * 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 20/sec burst 100
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:22
0 0 ACCEPT udp -- etho * 0.0.0.0/0
0.0.0.0/0 udp spt:123 dpt:123 state ESTABLISHED
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:80
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:443
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:21
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:25
0 0 ACCEPT tcp -- eth0 * 0.0.0.0/0
0.0.0.0/0 tcp dpt:993

Chain FORWARD (policy DROP 0 packets, 0 bytes)
pkts bytes target prot opt in out source
destination

Chain OUTPUT (policy DROP 6 packets, 456 bytes)
pkts bytes target prot opt in out source
destination
20 1670 ACCEPT 0 -- * lo 0.0.0.0/0
0.0.0.0/0
181 24039 ACCEPT 0 -- * eth0 0.0.0.0/0
0.0.0.0/0 state RELATED,ESTABLISHED
15 805 ACCEPT udp -- * eth0 0.0.0.0/0
91.121.75.251
0 0 ACCEPT icmp -- * eth0 0.0.0.0/0
0.0.0.0/0 icmp type 8 limit: avg 20/sec burst 100
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpt:53
0 0 ACCEPT udp -- * etho 0.0.0.0/0
0.0.0.0/0 udp spt:123 dpt:123 state NEW,ESTABLISHED
0 0 ACCEPT udp -- * eth0 0.0.0.0/0
0.0.0.0/0 udp dpts:33200:33500
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:80 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:443 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:21 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:22 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:2345 state NEW
0 0 ACCEPT tcp -- * eth0 0.0.0.0/0
0.0.0.0/0 tcp dpt:25 state NEW

Merci !

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to debian-user-french-REQUEST@lists.debian.org
with a subject of "unsubscribe". Trouble? Contact listmaster@lists.debian.org
Vidéos High-Tech et Jeu Vidéo
Téléchargements
Vos réponses Page 1 / 2
Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Pascal Hambourg
Le #9625061
Salut,

Sylvain a écrit :

J'ai quelques problèmes avec iptables et ntpdate ... je récupère
systématiquement :

21:52 root@ # ntpdate-debian
18 Nov 21:53:26 ntpdate[24136]: sendto(zugaina.org): Operation not
permitted


[...]
Il suffit que je stoppe mon firewall et tout rentre dans l'ordre.

Pourtant, j'ai les règles suivantes dans mon firewall :

iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state
--state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state
--state ESTABLISHED -j ACCEPT

Une idée d'où vient le problème ?



Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?

Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.

J'ai essayé plein de trucs, sans effet



Comme quoi, histoire de ne pas perdre de temps et de bande passante à
les proposer ?


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9625051
Bonjour,


Le dimanche 18 novembre 2007, Sylvain a écrit...


iptables -A OUTPUT -o etho -p udp --sport 123 --dport 123 -m state --state
NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -i etho -p udp --sport 123 --dport 123 -m state --state
ESTABLISHED -j ACCEPT




Il me semble que ntpdate attaque le port 123 en dport, mais à partir
d'un port non privilégié. Donc tu pourrais supprimer le --sport dans la
chaîne INPUT, et, surtout, le --dport dans la chaine OUTPUT.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain
Le #9625041
> Peut-être une option -u (utilisation d'un port source non privilégié au
lieu de 123) qui traîne quelque part, par exemple dans
/etc/default/ntpdate. Tu as essayé sans l'option --sport dans la règle
de cla chaîne OUTPUT ?



Alors je n'ai rien vu concernant cette option -u (ou -d d'ailleurs) dans
le seul fichier de conf de ntp que j'ai trouvé, à savoir justement
/etc/default/ntpdate :

# The settings in this file are used by the program ntpdate-debian, but not
# by the upstream program ntpdate.

# Set to "yes" to take the server list from /etc/ntp.conf, from package ntp,
# so you only have to keep it in one place.
NTPDATE_USE_NTP_CONF=yes

# List of NTP servers to use (Separate multiple servers with spaces.)
# Not used if NTPDATE_USE_NTP_CONF is yes.
NTPSERVERS="0.debian.pool.ntp.org 1.debian.pool.ntp.org
2.debian.pool.ntp.org 3.debian.pool.ntp.org"

# Additional options to pass to ntpdate
NTPOPTIONS=""


J'ai enlevé également l'option --sport dans mes règles iptables, sans
plus de résultat. Du coup, il ne me reste plus que :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT
pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.


Note : la règle dans la chaîne INPUT est inutile puisque la chaîne
contient déjà une règle qui accepte tout le trafic ESTABLISHED. Même
chose pour la mention de l'état ESTABLISHED dans la règle de la chaîne
OUTPUT, d'ailleurs.



Je sais, je sais, mais quand je disais :
J'ai essayé plein de trucs, sans effet


je n'ai pas dit que c'était des trucs très ... intelligents ;-)

Donc, pour l'instant, je récupère toujours des :
19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not
permitted

Merci de votre aide en tout cas !

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9625031
Bonjour,


Le lundi 19 novembre 2007, Sylvain a écrit...


pour ntp, j'ai viré la règle de la chaîne INPUT qui, effectivement, ne
servait à rien.



Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Sylvain
Le #9625021
> Pas sûr ! Es tu bien sûr que les connexions vers le 123 en udp peuvent
sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !



Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT

Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Cela ne devrait-il pas suffire ? (visiblement non, ntpdate ne fonctionne
toujours pas ...)

--
Sylvain


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Jean-Michel OLTRA
Le #9625011
Bonjour,


Le lundi 19 novembre 2007, Sylvain a écrit...


sortir ? J'ai déjà vu des pare-feu très restrictifs sur les ports de
sortie : le mien !



Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT

Pour l'entrée/sotie, j'ai de toute façon ça (presque) tout en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT



Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.

--
jm

A.E.L. Sarl (R.C.S CASTRES 490843240)
http://www.spidboutic.fr



--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9625001
Le 13836ième jour après Epoch,
écrivait:

Donc, pour l'instant, je récupère toujours des :
19 Nov 08:43:06 ntpdate[1261]: sendto(ns37256.ovh.net): Operation not
permitted



Tu peux essayer de logguer les paquets rejetés, ou sinon faire un
tcpdump, histoire d'être sûr ?
Sylvain
Le #9624981
> Il y a une incohérence entre les deux chaînes OUPUT. L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.



Voici un extrait de mon script :

Politique par défaut :
iptables -F
iptables -X
iptables -P INPUT DROP
iptables -P OUTPUT DROP
iptables -P FORWARD DROP

Puis j'autorise tout le trafic appartenant a des connexions existantes
avec :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT

Et ensuite, toutes mes régles d'ouverture de port, avec entre autre ntp:
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT

J'ai bon ?

--
Sylvain





--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
Pascal Hambourg
Le #9624971
Sylvain a écrit :
Jean-Michel OLTRA a écrit :
Il y a une incohérence entre les deux chaînes OUPUT.





Tu veux dire les deux /règles/ de la chaîne OUTPUT ?

L'une autorise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.





Non, il suffit qu'une règle accepte le paquet pour qu'il soit accepté.

Voici un extrait de mon script :



Je crois que j'ai trouvé.

iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT


^^^
Typo 'o' (comme Oscar) à la place de '0' (zéro). Comment j'ai pu louper
ça...


--
Lisez la FAQ de la liste avant de poser une question :
http://wiki.debian.net/?DebianFrench
Vous pouvez aussi ajouter le mot ``spam'' dans vos champs "From" et
"Reply-To:"

To UNSUBSCRIBE, email to
with a subject of "unsubscribe". Trouble? Contact
fra-duf-no-spam
Le #9624961
Le 13836ième jour après Epoch,
Jean-Michel OLTRA écrivait:

Le lundi 19 novembre 2007, Sylvain a écrit...

Sortir, oui, a priori :
iptables -A OUTPUT -o etho -p udp --dport 123 -j ACCEPT

Pour l'entrée/sotie, j'ai de toute façon ça (presque) tou t en haut de
mon script iptables :
iptables -A INPUT -i eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT
iptables -A OUTPUT -o eth0 -m state --state ESTABLISHED,RELATED -j ACCEPT



Il y a une incohérence entre les deux chaînes OUPUT. L'une auto rise les
paquets en state NEW, l'autre pas. Donc tout dépend laquelle d'entre
elles se situe en premier dans la série de règles.



Non, non, il n'y a pas d'incohérence. La première chaîne dit (pas
assez explicitement) que le port 123 en sortie est autorisé pour les
chaines new, la seconde dit "tout ce qui a déjà été est ablished pour
tous les ports peut sortir"
Publicité
Poster une réponse
Anonyme