এনটিপি অনুমতি দেওয়ার জন্য iptables নিয়ম কি?


27

আমার সার্ভারের ঘড়িটি ভুল কারণ ফায়ারওয়ালটি এনটিপি ট্র্যাফিকের অনুমতি দেয় না। এনটিপি ক্লায়েন্টকে বাইরে বেরিয়ে আসার অনুমতি দেওয়ার জন্য প্রয়োজনীয় আইপটিবল নিয়মগুলি কী কী?

উবুন্টুতে কীভাবে এই নিয়মগুলি প্রয়োগ করা যায় সে সম্পর্কে কোনও পরামর্শ প্রশংসা করেছে।


আপনি বলতে চাইছেন যে আপনার মেশিনটি এনটিপি সার্ভার হিসাবে কাজ করতে পারে?
ইগনাসিও ওয়াজকেজ-আব্রামগুলি

1
ক্লায়েন্ট হিসাবে অভিনয়।
জন

উত্তর:


37

"আউট এবং ব্যাক" বোঝায় আপনি একটি এনটিপি ক্লায়েন্ট এবং কোনও সার্ভারের সাথে কথা বলতে চান যা আমি ডিফল্টরূপে কল্পনা করতে পারি আপনি এটি করতে পারেন; আপনি যদি সমস্ত কিছু অবরুদ্ধ করার জন্য ফায়ারওয়াল সেট আপ না করে থাকেন এবং আইপটবেলগুলি একেবারে সেট আপ করেন তবে আপনার কাছে "অনুমতি সম্পর্কিত / প্রতিষ্ঠিত" নিয়ম থাকবে যার অর্থ বহির্গামী অনুরোধের উত্তরগুলি স্বয়ংক্রিয়ভাবে অনুমোদিত

যাই হোক না কেন, এনটিপি হ'ল ইউডিপি পোর্ট 123, সুতরাং, আপনি ধরে নিচ্ছেন যে আপনি একজন ক্লায়েন্ট এবং আপনি যে এনটিপি সার্ভারগুলি করতে চান সেটি অ্যাক্সেস করতে চান:

iptables -A OUTPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

এগুলি আপনার আউটপুট এবং ইনপুট চেইনের শেষে বিধিগুলিকে সংযোজন করবে

ধরে নিচ্ছি যে আপনি একটি সার্ভার হতে চান, আপনি করবেন

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

আমার কাছে একটি স্ক্রিপ্ট রয়েছে যা আমার ফায়ারওয়াল সংক্রান্ত সমস্ত বিধি প্রয়োগ করে এবং আমি এটিকে /etc/rc.local থেকে কল করি যা আমার মেশিনে স্টার্টআপে চলে (উবুন্টু 8.04 এলটিএস)

সম্পাদনা: আপনি পরিষ্কার করেছেন যে এটি কারণ আপনি ক্লায়েন্ট। উবুন্টুর ডিফল্ট কনফিগারেশনে আপনাকে এটি করার জন্য কোনও ফায়ারওয়াল সেটিংস পরিবর্তন করতে হবে না। আপনি কোন ফায়ারওয়াল কনফিগারেশন করেছেন? যদি কিছু না হয় তবে আমি বিশ্বাস করতে আগ্রহী যে এটি কোনও ফায়ারওয়াল সমস্যা নয়।


এই নিয়মটিতে একটি সমস্যা রয়েছে:> iptables -A INPUT -p udp --sport 123 -j ACCEPT উপরের নিয়মের সাহায্যে কেউ আপনার সার্ভারের অন্য একটি সুরক্ষিত বন্দরে সংযোগ করতে পারে, যদিও সংযোগটি সঠিক শব্দ নয় কারণ এটি ইউডিপি। উত্তরটি পেয়ে গেলে আমি এটি সম্পাদনা করব এবং এটিকে সম্পাদনা করব।

যেমনটি আমি বলেছি, বেশিরভাগ ক্লায়েন্টের একটি "অনুমতি সম্পর্কিত / প্রতিষ্ঠিত" নিয়ম থাকবে - এটি আরও ভাল কারণ এটি আপনার বহির্গামী ক্যোয়ারীর একটি নোট তৈরি করে (পোর্ট উইথ র্যান্ডম থেকে 123 পোর্ট করতে) এবং সেই আইপি থেকে 123 পোর্ট থেকে আগত প্যাকেটকে অনুমতি দেবে কিছু পোর্ট
র্যান্ডম

মনে হচ্ছে যে শুধুমাত্র, আমি এই নিয়ম যোগ আছে এমনকি যখন আমি একটি ক্লায়েন্ট হতে চেষ্টা করছি iptables -A INPUT -p udp --dport 123 -j ACCEPTআমার ক্ষেত্রে
xi.lin
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.