ntpd, unlink local addr, ВПН не спасает

0

1

Использую mx-linux на ВМ как основную для серфинга. Весь трафик всегда проходит через ВПН не РФ. Также настроен своеобразный killswitch при помощи роутера на VM.

В listen открыт порт ntpd, но машина, разумеется, за НАТом.

Netid     State       Recv-Q      Send-Q                              Local Address:Port           Peer Address:Port     Process                                                                               
udp       UNCONN      0           0                                   192.168.1.101:123                 0.0.0.0:*         users:(("ntpd",pid=2566,fd=19)) ino:18248 sk:1 cgroup:unreachable:1 <->              
udp       UNCONN      0           0                                       127.0.0.1:123                 0.0.0.0:*         users:(("ntpd",pid=2566,fd=18)) ino:18246 sk:2 cgroup:unreachable:1 <->              
udp       UNCONN      0           0                                         0.0.0.0:123                 0.0.0.0:*         users:(("ntpd",pid=2566,fd=17)) ino:18241 sk:3 cgroup:unreachable:1 <->              
udp       UNCONN      0           0                [*]%eth0:123                    [::]:*         users:(("ntpd",pid=2566,fd=21)) ino:18252 sk:4 cgroup:unreachable:1 v6only:1 <->     
udp       UNCONN      0           0                                           [::1]:123                    [::]:*         users:(("ntpd",pid=2566,fd=20)) ino:18250 sk:5 cgroup:unreachable:1 v6only:1 <->     
udp       UNCONN      0           0                                            [::]:123                    [::]:*         users:(("ntpd",pid=2566,fd=16)) ino:18238 sk:6 cgroup:unreachable:1 v6only:1 <->

В логах ntpd встречаются такие непонятные мне строки с (ТОЛЬКО) RU IP:

syslog:11:Mar  1 18:24:16 mx ntpd[2566]: PROTO: 178.22.51.250 unlink local addr 192.168.1.101 -> <null>
syslog:17:Mar  1 18:30:24 mx ntpd[2566]: PROTO: 178.16.95.28 unlink local addr 192.168.1.101 -> <null>
syslog:18:Mar  1 18:30:31 mx ntpd[2566]: PROTO: 94.247.111.10 unlink local addr 192.168.1.101 -> <null>
syslog:19:Mar  1 18:35:04 mx ntpd[2566]: PROTO: 91.207.136.55 unlink local addr 192.168.1.101 -> <null>
syslog:28:Mar  1 19:03:17 mx ntpd[2566]: PROTO: 91.206.16.3 unlink local addr 192.168.1.101 -> <null>

Подобные события есть в других местах логов, выше пример один из многих. Гео у айпи из логов разные, разные организации, но все из РФ. На одном нашел даже какую-то IP камеру https://www.shodan.io/host/178.16.95.28#81

В конфиге /etc/ntpsec/ntp.conf указаны только worldwide пулы:

pool 0.debian.pool.ntp.org iburst
pool 1.debian.pool.ntp.org iburst
pool 2.debian.pool.ntp.org iburst
pool 3.debian.pool.ntp.org iburst

Вывод #ntpq -p

     remote                                   refid      st t when poll reach   delay   offset   jitter
=======================================================================================================
 0.debian.pool.ntp.org                   .POOL.          16 p    -  256    0   0.0000   0.0000   0.0002
 1.debian.pool.ntp.org                   .POOL.          16 p    -  256    0   0.0000   0.0000   0.0002
 2.debian.pool.ntp.org                   .POOL.          16 p    -  256    0   0.0000   0.0000   0.0002
 3.debian.pool.ntp.org                   .POOL.          16 p    -  256    0   0.0000   0.0000   0.0002
-37.153.16.170                           89.109.251.22    2 u  421 1024  377 190.1277   1.2130  24.7711
q-ground.corbina.net                      194.58.202.148   2 u 1026 1024  367 202.0032   0.3114  13.7677
-213.234.203.30                          193.190.230.37   2 u    9 1024  377 277.7533  29.2875  30.7849
+stratum2-1.ntp.mow01.ru.misaka.io       194.190.168.1    2 u  297 1024  377 170.8339   4.7981  16.0957
-cello.corbina.net                       89.109.251.22    2 u   23 1024  377 181.4740   7.3984  19.1541
-monitoring.finenumbers.com              194.190.168.1    2 u  312 1024  367 193.9903   8.2174  18.4343
+192.36.143.130                          .PPS.            1 u  337 1024  377 143.3390  -1.5320  13.9624
*ntp.ix.ru                               .GPS.            1 u  619 1024  177 167.2496   2.6021   2.0327
+ntp1.doorhan.ru                         .GPS.            1 u 1041 1024  377 172.5291   5.0639   3.7252

Склоняюсь к тому, что просто не понимаю, как работает ntp/ntpsec. Прошу пояснить, что это за unlink local addr, зачем ntpd с ними соединяется, и почему только РУ адреса, и что это вообще за машины такие?

←	Настройка DHCP клиентов через Ansible или аналог

Помирает ШДД?

→

Про каждый непонятный ip-адрес в логе только одна строка?

mky ★★★★★
(02.03.23 04:05:13 MSK)

Ответ на: комментарий от mky 02.03.23 04:05:13 MSK

Да. Вот вывод grep -n «ntpd» /var/log/* https://pastebin.com/raw/X2EhJ4VX

rsysl0g
(02.03.23 05:00:16 MSK) автор топика

Ответ на: комментарий от rsysl0g 02.03.23 05:00:16 MSK

unlink local addr ... -> <null> означает, что соответствующий peer удаляется из списка. Попадает этот peer в список вполне нормальным путём, из 0.debian.pool.ntp.org:

daemon.log.1:31:Feb 22 07:33:56 mx ntpd[2200]: DNS: dns_check: processing 0.debian.pool.ntp.org, 8, 101
...
daemon.log.1:35:Feb 22 07:33:56 mx ntpd[2200]: DNS: Pool taking: 193.192.36.3
daemon.log.1:54:Feb 22 07:42:24 mx ntpd[2200]: DNS: Pool skipping: 193.192.36.3
daemon.log.1:95:Feb 22 07:44:52 mx ntpd[2200]: PROTO: 193.192.36.3 unlink local addr 192.168.1.101 -> <null>

Я выборочно проверил эти ip-адреса, они stratum 2 или 1, так что их попадание в pool вполне нормально.

Почему peer выкидывается из списка по данному содержимоу лога не понятно. Возможно, по таймауту, возможно, тот VPN, через который вы входите блочить весь NTP-трафик в Россию...

А так, у вас там вобще странно:

daemon.log.1:106:Feb 22 07:46:57 mx ntpd[2200]: DNS: dns_take_status: 0.debian.pool.ntp.org=>good, 8
daemon.log.1:111:Feb 22 07:49:41 mx ntpd[5687]: INIT: ntpd ntpsec-1.2.0 2021-06-17T05:15:04Z: Starting
daemon.log.1:112:Feb 22 07:49:41 mx ntpd[5687]: INIT: Command line: /usr/sbin/ntpd -p /run/ntpd.pid -c /etc/ntpsec/ntp.conf -g -N -u ntpsec:ntpsec
...
daemon.log.1:119:Feb 22 07:49:41 mx ntpd[5695]: IO: unable to bind to wildcard address :: - another process may be running: Address already in use; EXITING
daemon.log.1:120:Feb 22 07:49:41 mx ntpd[5715]: INIT: ntpd ntpsec-1.2.0 2021-06-17T05:15:04Z: Starting
daemon.log.1:121:Feb 22 07:49:41 mx ntpd[5715]: INIT: Command line: /usr/sbin/ntpd -p /run/ntpd.pid -c /etc/ntpsec/ntp.conf -g -N -u ntpsec:ntpsec
...
daemon.log.1:128:Feb 22 07:49:41 mx ntpd[5719]: IO: unable to bind to wildcard address :: - another process may be running: Address already in use; EXITING
daemon.log.1:129:Feb 22 07:53:17 mx ntpd[2200]: PROTO: 195.218.227.166 unlink local addr 192.168.1.101 -> <null>

Две попытки запуска ntpd при работающем ntpd с pid 2200.

mky ★★★★★
(02.03.23 07:04:04 MSK)

←	Настройка DHCP клиентов через Ansible или аналог

Admin

Помирает ШДД?

→

Похожие темы