Åpne Netopia router for NTP-protokoll?

[Scalpel]

Jeg sliter med at pc'ene på lokalnettet ikke får snakket med NTP-servere på nettet. F.eks ntp.uio.no.

 

Routeren jeg bruker er en Netopia 3351 fra NGT, og jeg har åpnet for port 123. Er det noe annet som må gjøres? Eller er det bare jeg som har gjort feil når jeg har åpnet?

 

Her er toppen av Display/Change Output filter:

------------------------

1 0.0.0.0 0.0.0.0 TCP NC =123 Yes Yes |

2 0.0.0.0 0.0.0.0 UDP NC =123 Yes Yes |

<klippet bort resten>

 

Noen som ser noen feil her?

[Soho]

alle porter opp til 1023 skal være åpen som standard. men skal du åpne porter må du huske å gjøre dette i offentlige servere også.

Endret 29. april 2004 av Soho

[Scalpel]

Hva mener du?

 

Jeg har ikke satt opp en ntp-server selv, jeg skal bare snakke med en på internett. Som du sier så burde alle porter opp til 1023 være åpne, men både fra XP boksene, og Linux boksene mine får jeg ikke synkronisert med noen ntp-servere på nettet.

 

Her er den fulstendige Output filter listen min:

1 0.0.0.0 0.0.0.0 TCP NC =123 Yes Yes |

| 2 0.0.0.0 0.0.0.0 UDP NC =123 Yes Yes |

| 3 0.0.0.0 10.0.0.2 UDP NC =412 Yes Yes |

| 4 0.0.0.0 10.0.0.2 TCP NC =412 Yes Yes |

| 5 10.0.0.0 0.0.0.0 ANY -- -- Yes Yes |

| 6 172.16.0.0 0.0.0.0 ANY -- -- Yes Yes |

| 7 192.168.0.0 0.0.0.0 ANY -- -- Yes Yes |

| 8 0.0.0.0 0.0.0.0 ICMP NC NC Yes Yes |

| 9 0.0.0.0 0.0.0.0 TCP =23 NC Yes Yes |

| 10 10.0.0.3 0.0.0.0 TCP =5800 NC Yes No |

| 11 10.0.0.3 0.0.0.0 TCP =40 NC Yes Yes |

| 12 10.0.0.3 0.0.0.0 TCP =123 NC Yes Yes |

[bjorn.e]

utrolig hva google finner for deg

http://www.busan.edu/~nic/networking/firewall/ch08_13.htm

 

men ut i fra beskrivelsen av protokollen burde den vel egentlig virka selv bak en NAT router.

 

Uansett så er det vel ikkje output filteret som er problemet? All trafikk fra alle reserverte nettverk er tillatt i mitt standard opsett i allefall + icmp. Input filteret er det som kanskje kunne laget litt krøll, men NAT delen skal jo huske den utgående pakken og ta i mot svaret uten noen egene filter regler for det?

 

(Men siden hu har en linux maksin hendig kan du jo prøve å sette den opp som en ntp server og åpne port 123 udp mot den og bruke den som en proxy)

[YamahaR1]

Ring NGT og be de åpne alle porter hos deg på sin interne router. La portene hos deg være som de er. Sørg for å ha bra software-brannmur. Da er problemet løst.

[TriGem]

Ta en titt på

 

www.relativt.net

 

Har du åpnet porten i NAT'inga?

Endret 30. april 2004 av TriGem

[fran]

Bruk 'ntpdate -u ntp.eunet.no'

 

-u gjør at den bruker upriviligerte porter -- funker på NGT hos meg.

ntp.eunet.no funker for meg iallefall..

 

Dersom du vil endre BIOS klokken, og ikke bare software-klokke, legger du til '-b' parameteret.

 

-f-

[Zenit]

Som allerede nevnt, bruk ntpdate -u <server> for å sjekke at ting fungerer hvis forespørselen går fra en ikke priviligert port ( > 1023 ). Kommer denne igjennom må du også endre input-filteret da ntp/ntpdate pr. default vil bruke port 123 UDP som både source og destination. Mye fin dokumentasjon på http://www.ntp.org

 

Stusser litt over at du har regler i output-filteret? Har du lagt til alle disse selv? Btw, ved å la output-filteret være tomt, vil ikke ruteren filtrere output.

Endret 30. april 2004 av Zenit

[Scalpel]

Løsningen min ble å legge til følgende i crontab på linux serveren:

0 4 * * * /usr/sbin/ntpdate -u -p 8 ntp.uio.no ntp.uit.no &>/dev/null
1 4 * * * /sbin/hwclock --systohc

 

I tillegg kjører den en ntpd-daemon, sånn at XP klientene på nettet henter klokken fra vår interne server.

 

Takk for tips!

Endret 30. april 2004 av Scalpel

[Soho]

alle porter opp til 1023 skal være åpen som standard. men skal du åpne porter må du huske å gjøre dette i offentlige servere også.

liten feil av meg selv der, alle over 1023...

Endret 7. mai 2004 av Soho