LINUX.ORG.RU
ФорумAdmin

Сервер времени для двух сетей

 ,


0

1

Здравствуйте. Стоит сервер на Debian с 3-мя сетевыми картами:

  • 10.11.Х.Х (сеть А)
  • 172.20.Х.Х (сеть Б)
  • 192.168.1.Х


Настроен iptables для ограничения между сетями: все 3 сети не видят друг друга, кроме 2 компьютеров которые видит всех (один из них мой).
Необходимо настроить сервер времени, который бы раздавал время сети А и Б. Поставил ntp, сам синхронизируется с другим компьютером в сети. Мой компьютер прекрасно синхронизирует время. Но компьютеры в другой сети никак. Помогите настроить это правильно.
Привожу примеры конфига:
iptables 

# Generated by iptables-save v1.4.14 on Fri Mar  7 23:24:38 2014
*filter
:INPUT DROP [67531:6023738]
:FORWARD DROP [11:572]
:OUTPUT ACCEPT [254:33873]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 22 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.11.10.223/32 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.215/32 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.11.213/32 -d 172.20.1.142/32 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.11.213/32 -d 172.20.1.142/32 -p udp -m udp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.98/32 -d 172.20.1.142/32 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.98/32 -d 172.20.1.142/32 -p udp -m udp --dport 1024:65535 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Fri Mar  7 23:24:38 2014
# Generated by iptables-save v1.4.14 on Fri Mar  7 23:24:38 2014
*nat
:PREROUTING ACCEPT [138862:12920595]
:INPUT ACCEPT [4:232]
:OUTPUT ACCEPT [31:2105]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Fri Mar  7 23:24:38 2014
18 12:41:03 2014


ntp.conf 

# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp.log

# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 10.11.10.5

server 127.127.1.0
fudge  127.127.1.0 stratum 10

restrict default nomodify nopeer

restrict 127.0.0.1

restrict 172.20.0.0 mask 255.255.0.0 nomodify notrap
restrict 10.11.12.215
restrict 10.11.10.223

Поставить bonnie++ на удалённой ЭВМ
Недоступность одного из DNS-серверов
Ответ на: комментарий от anonymous

Пожалуй. Но я добавил в iptables строку и все равно ничего не происходит. 

-A INPUT -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT

Serpico
() автор топика
Ответ на: комментарий от Serpico

# Generated by iptables-save v1.4.14 on Fri Mar 7 23:24:38 2014

Fri Mar 7

А применил ли?

iptables-save в студию

И да, ESTABLISHED соединения дропать будешь?

anonymous
()
Ответ на: комментарий от anonymous

Это и есть ip-tables я их просто не менял с того времени. Вот сегодня только попытался ничего не вышло, восстановил с бекапа который и показываю.

Serpico
() автор топика
Ответ на: комментарий от anonymous 
# Generated by iptables-save v1.4.14 on Thu Sep 18 16:57:59 2014
*filter
:INPUT DROP [161069:14912925]
:FORWARD DROP [15:760]
:OUTPUT ACCEPT [4053:927044]
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -p udp -m udp --dport 22 -m state --state NEW -j ACCEPT
-A INPUT -s 10.11.10.223/32 -p icmp -j ACCEPT
-A INPUT -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT
-A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 10.11.10.223/32 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.215/32 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.11.213/32 -d 172.20.1.142/32 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.11.213/32 -d 172.20.1.142/32 -p udp -m udp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.98/32 -d 172.20.1.142/32 -p tcp -m tcp --dport 1024:65535 -m state --state NEW -j ACCEPT
-A FORWARD -s 10.11.12.98/32 -d 172.20.1.142/32 -p udp -m udp --dport 1024:65535 -m state --state NEW -j ACCEPT
COMMIT
# Completed on Thu Sep 18 16:57:59 2014
# Generated by iptables-save v1.4.14 on Thu Sep 18 16:57:59 2014
*nat
:PREROUTING ACCEPT [273245480:22208661390]
:INPUT ACCEPT [306:22768]
:OUTPUT ACCEPT [30825:1610559]
:POSTROUTING ACCEPT [0:0]
-A POSTROUTING -j MASQUERADE
COMMIT
# Completed on Thu Sep 18 16:57:59 2014
Serpico
() автор топика
Ответ на: комментарий от Serpico

-m state --state NEW

Убирай эту фигню там где UDP, у них нет состояния в общем-то.

blind_oracle ★★★★★
()
Ответ на: комментарий от Serpico

Поскольку у тебя по дефолту INPUT DROP, предлагаю добавить правило для логирования одного из клиентов в отдельный файл, запустить на нём синхронизацию времени и посмотреть затем в логах, по каким портам и протоколам клиент стучался

iptables -A INPUT -s $CLIENT_IP -j LOG --log-prefix «INPUT:DROP:»

anonymous
()

тебе в ферволе нужно правило 

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT
в самом конфиге НТП нужно прописать 
driftfile /var/lib/ntp/ntp.drift
logfile /var/log/ntp.log

server 10.11.10.5
server 127.127.1.0
fudge  127.127.1.0 stratum 10

disable monitor

restrict -4 default ignore
restrict 127.0.0.1

restrict 10.11.0.0 mask 255.255.0.0 nomodify notrap noquery
restrict 172.20.0.0 mask 255.255.0.0 nomodify notrap noquery

вот примерно както так дожно работать

CHIPOK ★★★
()
Последнее исправление: CHIPOK (всего исправлений: 2)

адрес твоего компьютера случайно не 10.11.12.215 или 10.11.10.223?

dr-yay ★★
()
Ответ на: комментарий от CHIPOK

Спасибо. Но не помогло почему то. Я могу синхронизироваться из сети 10.11.Х.Х, а из сети 172.20.Х.Х не могут. Я особо не в курсе как работает ntpd, может он может синхронизировать только в сети из которой сам синхронизирует (сервер синхронизации 10.11.10.5) ?

Serpico
() автор топика
Ответ на: комментарий от anonymous

Хотя нет. Сейчас на пятерых компьютерах проверил в нашей сети. Некоторые могут некоторые нет почему то.
ss -lnup 


State       Recv-Q Send-Q                                              Local Address:Port                                                Peer Address:Port
UNCONN      0      0                                                               *:111                                                            *:*      users:(("rpcbind",1735,6))
UNCONN      0      0                                                               *:33908                                                          *:*      users:(("rpc.statd",1767,7))
UNCONN      0      0                                                     192.168.1.4:123                                                            *:*      users:(("ntpd",27844,21))
UNCONN      0      0                                                      172.20.1.1:123                                                            *:*      users:(("ntpd",27844,20))
UNCONN      0      0                                                     10.11.20.70:123                                                            *:*      users:(("ntpd",27844,19))
UNCONN      0      0                                                       127.0.0.1:123                                                            *:*      users:(("ntpd",27844,18))
UNCONN      0      0                                                               *:123                                                            *:*      users:(("ntpd",27844,16))
UNCONN      0      0                                                               *:638                                                            *:*      users:(("rpcbind",1735,7))
UNCONN      0      0                                                       127.0.0.1:671                                                            *:*      users:(("rpc.statd",1767,4))
UNCONN      0      0                                                              :::111                                                           :::*      users:(("rpcbind",1735,9))
UNCONN      0      0                                                             ::1:123                                                           :::*      users:(("ntpd",27844,25))
UNCONN      0      0                                        fe80::250:fcff:fee5:7add:123                                                           :::*      users:(("ntpd",27844,24))
UNCONN      0      0                                        fe80::2c0:26ff:fea5:f3ba:123                                                           :::*      users:(("ntpd",27844,23))
UNCONN      0      0                                        fe80::250:daff:fe3c:1ec2:123                                                           :::*      users:(("ntpd",27844,22))
UNCONN      0      0                                                              :::123                                                           :::*      users:(("ntpd",27844,17))
UNCONN      0      0                                                              :::638                                                           :::*      users:(("rpcbind",1735,10))
UNCONN      0      0                                                              :::56027                                                         :::*      users:(("rpc.statd",1767,9))

Serpico
() автор топика
Ответ на: комментарий от anonymous

Тут у всех венда, даже у меня. Linux только на сервере. Ну есть еще один компьютер на линуксе, там правда пень 3-ий и вообще он в сейфе заперт.

Serpico
() автор топика
Ответ на: комментарий от Serpico

в выхлопе команды порты на которых слушает ntpd, то есть на всех интерфейсах висит

сравни разницу, меньше двух часов? http://support.microsoft.com/kb/884776

и давай в iptables правило для логирования всего траффика с порта 123, и запускай синхронизацию на клиенте и айда анализировать

anonymous
()
Ответ на: комментарий от anonymous

Я вот думаю может прописать маршрут для синхронизации с основным сервером времени 10.11.10.5. Мне по сути важны только 2 компьютера из сети 174.20.х.х. С остальными можно обождать.

Serpico
() автор топика
Ответ на: комментарий от Serpico

iptables -A INPUT -s 172.20.1.1/24 -p udp -j LOG --log-prefix «nat debug:»

на венде разницу во времени проверил до синхронизации? меньше двух суток составляет?

anonymous
()
Ответ на: комментарий от Serpico

172.20.1.0/24, да, подсеть, логировать всех клиентов из той сети

anonymous
()
Ответ на: комментарий от Serpico

видишь, что в цепочку INPUT попало только 172.20.1.142? не наводит ни на какие мысли глядя на правила FORWARD?

anonymous
()
Ответ на: комментарий от anonymous

Написать аналогичное правило для ntp ? 

-A FORWARD -s 172.20.14.205/32 -d 172.20.1.1/32 -p udp -m udp --dport 123 -m state --state NEW -j ACCEPT

Больше меня ни на что не наводит.

Serpico
() автор топика
Ответ на: комментарий от anonymous

Никак. Тоже самое.

в логах нашел такую строку 

Sep 19 08:18:34 debian ntpd[27844]: Listen normally on 4 eth2 172.20.1.1 UDP 123

Serpico
() автор топика
Ответ на: комментарий от Serpico

давай так, записывай ип с сети 172.20.Х.Х на котором хочешь время получить, на сервере делай tcpdum -vvv host 172.20.Х.Х, пробуй получить время, выхлоп сюда

CHIPOK ★★★
()
Ответ на: комментарий от Serpico

Тебе не нужно 1000 правил, просто открой порт юдп 123 и все, проскань с сети 172.20.Х.Х сервер на наличие открытого порта с помощью nmap. Еще для теста дабы исключить фаервол потуши его совсем.

CHIPOK ★★★
()
Ответ на: комментарий от CHIPOK

да я читал про ntp, дак он работает нормально. ну я надеюсь со своего компьютера я же могу получить время.

Serpico
() автор топика
Ответ на: комментарий от Serpico

Послушай может мне открыть весь фаервол да посмотреть как он себя ведет. А то терзают меня смутные сомнения что проблемы со стороны клиенты. А потом уж восстановит обратно.

Serpico
() автор топика
Ответ на: комментарий от Serpico

никуя себе выхлоп, а ты можешь во время теста с той машинки обращатся к серверу только по НТП, с того вывода я не увидел напоминаний про НТП.

CHIPOK ★★★
()
Ответ на: комментарий от CHIPOK

Я по удалёнке же там сижу. Другого способа нет. Ну хорошо я могу кое что попробовать еще. скоро отпишусь что получилось.

Serpico
() автор топика
Ответ на: комментарий от CHIPOK

Короче я всё выяснил. Фаервол настроен нормально, сервер времени тоже нормально. Проблема в клиентах, некоторые почему то синхронизируются нормально, некоторые нет. Скорее всего надо клиент синхронизации времени настраивать, то ли он сбрасывается, то ли по таймауту не хочет. Возможно надо что-то в реестре менять чтобы этого не происходило. Возможно ли так ?

Serpico
() автор топика
Ответ на: комментарий от Serpico

может там антивирь какой банит трафик, анализируй tcpdump, приходят ли от тех компов НТП запросы или нет в момент синхронизации, а там кумекай по ситуации. Мне кажется что запросы не доходят до сервера.

CHIPOK ★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Поставить bonnie++ на удалённой ЭВМ
Admin
Недоступность одного из DNS-серверов