форумы  помощь  поиск  регистрация  майллист  ВХОД  слежка

Вариант для распечатки		Архивированная нить - только для чтения!  Пред. тема | След. тема
Форумы OpenNET: Виртуальная конференция (Public)
Изначальное сообщение		[Проследить за развитием треда]

"ntp и ipfw"
Сообщение от noname on 30-Ноя-02, 15:41  (MSK)
Как и указано в примере rc.firewall открыл 123 порт add pass udp from my.ext.IP.addr to any 123 keep-state время по ntpdate синхронизируется, НО: за шлюзом на BSD находятся парочка серверов Linux, которым тоже бы не помешало иметь точное время. на них выполняю ntpdate и получаю no server suitable for synchronization found если открыть файрволл на БСД шлюзе, то синхронизация на Линукс-серверах проходит. Понятно что в ipfw где-то ошибся, но ведь все остальное, написанное по образу и подобию (FTP,HTTP,HTTPS,ICQ,IRC), проходит. М.б., что-то еще надо прописать в правилах?
	Рекомендовать в FAQ | Cообщить модератору | Наверх

Индекс форумов | Темы | Пред. тема | След. тема

Сообщения по теме

1. "RE: ntp и ipfw"
Сообщение от СергейКа on 30-Ноя-02, 15:53  (MSK)
Извиняюсь за ОФФ, подскажи построчно как ты обновляешь время я сделал по крону скрипт: ipfw add 20 pass udp from any to any 123 ipfw add 21 pass udp from any 123 to any ntpdate ntp.psn.ru ipfw delete 20 ipfw delete 21 и у меня правит время без учета разницы +3 часа
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	2. "RE: ntp и ipfw"
	Сообщение от noname on 30-Ноя-02, 16:11  (MSK)
	>Извиняюсь за ОФФ, подскажи построчно как ты обновляешь время >я сделал по крону скрипт: да так и обновляю, по крону и все ОК. без разницы в 3 часа. ntpdate <имя.сервера.ntp> а правила каждый раз в файрволе переписывать, хм, ну может быть в этом смысл какой-то и есть - "а вдруг сломают?"
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	5. "RE: ntp и ipfw"
	Сообщение от СергейКа on 30-Ноя-02, 16:36  (MSK)
	>а правила каждый раз в файрволе переписывать, хм, ну может быть в >этом смысл какой-то и есть - "а вдруг сломают?" а к чему держать порт открытым? обновился, и в тень :-), я не слышал чтобы по 123 были проблемы, но завел себе правило, открыл закрыл если постоянно не нужно. Чтоже всетаки на разницу во времени то влияет..., может руссификация какая нибудь в rc.conf
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	7. "RE: ntp и ipfw"
	Сообщение от noname on 30-Ноя-02, 16:58  (MSK)
	>>а правила каждый раз в файрволе переписывать, хм, ну может быть в >>этом смысл какой-то и есть - "а вдруг сломают?" > >а к чему держать порт открытым? обновился, и в тень :-), я >не слышал чтобы по 123 были проблемы, но завел себе правило, >открыл закрыл если постоянно не нужно. так ты же не входящие соединения к себе на 123 разрешаешь, а исходящие с непривилегированных портов на 123 >Чтоже всетаки на разницу во времени то влияет..., может руссификация какая нибудь >в rc.conf может быть, timezone? у меня MSK+00
		Рекомендовать в FAQ | Cообщить модератору | Наверх

3. "RE: ntp и ipfw"
Сообщение от lavr on 30-Ноя-02, 16:23  (MSK)
>Как и указано в примере rc.firewall открыл 123 порт > >add pass udp from my.ext.IP.addr to any 123 keep-state > >время по ntpdate синхронизируется, НО: за шлюзом на BSD находятся парочка серверов >Linux, которым тоже бы не помешало иметь точное время. > >на них выполняю ntpdate и получаю > >no server suitable for synchronization found > >если открыть файрволл на БСД шлюзе, то синхронизация на Линукс-серверах проходит. Понятно >что в ipfw где-то ошибся, но ведь все остальное, написанное по >образу и подобию (FTP,HTTP,HTTPS,ICQ,IRC), проходит. М.б., что-то еще надо прописать в >правилах? а зачем с каждой телеги для синхронизации лезть во внешний мир, есть синхронизация одного сервера, остальные тачки пусть с ним синхронизуются
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	4. "RE: ntp и ipfw"
	Сообщение от noname on 30-Ноя-02, 16:35  (MSK)
	>а зачем с каждой телеги для синхронизации лезть во внешний мир, да телег то всего 2 %-), кроме того сервера, что синхронизируется. >есть >синхронизация одного сервера, остальные тачки пусть с ним синхронизуются На нем нужно поднять ntpd или я не догоняю чего-то?
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	6. "RE: ntp и ipfw"
	Сообщение от СергейКа on 30-Ноя-02, 16:55  (MSK)
	А чего ты мучаешься? правило то у тебя только во внешнюю сеть действует. подставь мои, и увидишь разницу
		Рекомендовать в FAQ | Cообщить модератору | Наверх

8. "RE: ntp и ipfw"
Сообщение от noname on 30-Ноя-02, 17:39  (MSK)
Увидел в одном треде вариант правил add divert 8668 ip from any to any via ed0 ... add pass ip from any to 192.168.1.0/24 via ed0 ^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешение прохождения пакетов в локальную сеть через интерфейс ed0. Но у ed0 реальный адрес и имхо пакет с адресом назначения локальной сети на нем появиться не может, ведь ранее там идет divert. Или это как раз обратное преобразование из "замаскированного" адреса в адрес локальной сети? Просветите, плз, кто может. так вот, к чему это я. Написал так, как показано, и стали те мои "2 телеги" тоже время получать.
	Рекомендовать в FAQ | Cообщить модератору | Наверх

	9. "RE: ntp и ipfw"
	Сообщение от LinaS on 01-Дек-02, 01:25  (MSK)
	>add divert 8668 ip from any to any via ed0 >... >add pass ip from any to 192.168.1.0/24 via ed0 >^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешение вообще-то если ed0 - внешний интерфейс, то такого правила быть не должно... Ибо действительно пакеты с частными адресами в инет и из инета ходить не должны (и в обычной ситуации не будут). я, возможно, ошибаюсь, но вообще-то пакет, не предназначенный данной машине-шлюзу, проходит через ipfw правила 2 раза - как входящий и как исходящий. от этого и нужно отталкиваться... соответственно можно (а может и нужно) делать так: правила про входящие пакеты от локалки на внутренний интерфейс втыкаешь перед диверт, правила про исходящие в локалку - после... У меня по крайней мере так работает.
		Рекомендовать в FAQ | Cообщить модератору | Наверх

	10. "RE: ntp и ipfw"
	Сообщение от A Clockwork Orange on 03-Дек-02, 11:12  (MSK)
	>>add divert 8668 ip from any to any via ed0 >>... >>add pass ip from any to 192.168.1.0/24 via ed0 >>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешение > >вообще-то если ed0 - внешний интерфейс, то такого правила быть не должно... >Ибо действительно пакеты с частными адресами в инет и из инета >ходить не должны (и в обычной ситуации не будут). >я, возможно, ошибаюсь, но вообще-то пакет, не предназначенный данной машине-шлюзу, проходит через >ipfw правила 2 раза - как входящий и как исходящий. от >этого и нужно отталкиваться... соответственно можно (а может и нужно) делать >так: правила про входящие пакеты от локалки на внутренний интерфейс втыкаешь >перед диверт, правила про исходящие в локалку - после... У меня >по крайней мере так работает. Лина .. на самом деле везде пишется с точностью наоборот 1. Сначала все для локальной петли. 2. Запрещающие правила для зарезервированных адресов. 3. Диверт. 4. ВСе что касается внешнего интерфейса. 5. Все что касается внутреннего интерфейса. Вопрос понятия "исходящий" и "входящий" , под этим понимаются абсолютные понятия не зависимо откуда смотреть или все же это относительно .. для внешнего интерфейса пакет входящий для втнуреннего исходящий и наоборот. А вот как считается пакет для вненшего интерфейса который вошел через втнутрениий и падает на внешний. И как настчет такого посыла in recv out recv out xmit
		Рекомендовать в FAQ | Cообщить модератору | Наверх

Удалить

Индекс форумов | Темы | Пред. тема | След. тема

Пожалуйста, прежде чем написать сообщение, ознакомьтесь с данными рекомендациями.