xntpd und ipchains

Dietmar Goldbeck dietmar.goldbeck at acm.org
Mon Mar 13 10:06:47 CET 2000 

On Sun, Mar 12, 2000 at 01:13:40PM +0100, Heidinger Markus wrote:
> Ich habe es schon in mehreren Foren versucht, aber irgendwie konnte man mir
> nirgendwo vernünftig helfen, daher versuche ich es einmal hier:
> 
> Folgendes Problem:
> 
> Ich habe auf einem Gateway-Rechner ipchains und xntpd laufen. Meine ipchains
> haben eine input-Policy "DENY", output und forward sind auf "ACCEPT"
> gesetzt. Für den xntpd habe ich zunächst eine Regel der Art
> 
> ipchains -A input --source-port 123 --destination-port 123 -p UDP -i ppp0 -j
> ACCEPT
> 
> eingeführt. Trotzdem nimmt der xntpd mit keinem externen Timeserver Kontakt
> auf. Also habe ich probeweise die input-Policy auf ACCEPT gesetzt und logge
> die Pakete am Ende der input-chain. Nach einem Neustart des xntpd
> funktioniert alles einwanfrei, andere Pakete als - wie erwartet -  UDP von
> Port 123 (extern) auf Port 123 (intern) kommen laut Log _nicht_ vor. Auch
> iptraf und tcpdump zeigen keine anderen Pakete an. Setze ich bei laufendem
> xntpd die input-Policy wieder auf DENY, kann er weiterhin einwandfrei mit
> externen Timeservern synchronisieren. Aber jetzt kommt der Clou: Starte ich
> den xntpd neu (ohne inzwischen an den ipchains was zu ändern), funktioniert
> wieder keine externe Synchronisation.
> 
> Hatte irgendjemand schon mal so ein Problem?
> Bitte dringend um Hilfe,
> 

Klingt fuer mich nach kaputtem DNS. Das ist AFAIK das einzige, was Du
nur beim Starten brauchst. Du kannst ja testweise mal alle externen
Server mit IP Nummern eintragen.

Ansonsten koennen wir Dir nur helfen, wenn Du Deine Regeln
so konfigurierst, das Du rejects/denys im syslog siehst, und
uns mal nen Auszug mailst. 

-- 
 Alles Gute / best wishes  
     Dietmar Goldbeck                E-Mail: dietmar.goldbeck at acm.org
Reporter (to Mahatma Gandhi): Mr Gandhi, what do you think of Western
Civilization?  Gandhi: I think it would be a good idea.

-
Hinweise zur Benutzung dieser (und anderer Mailing-Listen) bitte beachten:
-> http://lug-owl.de/mailinglist_hints.html <--

More information about the Linux mailing list