Probleme ntp und iptables

[geak]

Hallo zusammen,

ich möchte meinen Server täglich mit einem TimeServer aktualisieren
dabei bekomme ich folgende Fehlermeldung

Temporary failure in name resolution
---------------------------------------------------------
meine iptables sehen folgendermaßen aus
Chain INPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:22
ACCEPT tcp -- anywhere anywhere tcp spts:1024:65535 dpt:domain
ACCEPT udp -- anywhere anywhere udp spts:1024:65535 dpt:ntp

Chain FORWARD (policy DROP)
target prot opt source destination

Chain OUTPUT (policy DROP)
target prot opt source destination
ACCEPT tcp -- anywhere anywhere tcp spt:22 dpts:1024:65535
ACCEPT tcp -- anywhere anywhere tcp spt:domain dpts:1024:65535
ACCEPT udp -- anywhere anywhere udp spt:ntp dpts:1024:65535
---------------------------------------------------------
wenn ich die iptables alle auf ACCEPT stelle, funktioniert es ohne Probleme


was mache ich falsch?


thx
geak

[nepos]

Zuerst wuerde ich immer, wenn ich die Policy DROP einstelle, ans Ende jeder Chain ein LOG-Rule haengen, zumindest solange man an der Firewall bastelt. Dann siehst du naemlich was er wegwirft und wieso er das tut

Fuer NTP sollten folgende Zeilen reichen:

Code: Alles auswählen

iptables -A OUPUT -p udp --dport 123 -j ACCEPT
iptables -A INPUT -p udp --sport 123 -j ACCEPT

Wenn du auf einen bestimmten NTP-Server zugreifst, kannst du das ganze noch anhand Ziel-/Quell-IP einschraenken.

[geak]

habe die Zeilen mal in meine iptabels übernommen, bekomme aber immer noch die fehlermeldung

kannst du vieleicht ein beispiel bringen, wie man das mit den logs macht

thx
geak

[nepos]

Klar. Deine Rules mal mit Log-Regeln:

Code: Alles auswählen

iptables -P OUTPUT DROP
iptables -P INPUT DROP
iptables -P FORWARD DROP

# Regeln fuer incoming
# Ueber loopback alles erlauben
iptables -A INPUT -i lo -j ACCEPT
# SSH
iptables -A INPUT -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT
# DNS
iptables -A INPUT -p tcp --dport 53 -j ACCEPT
# DNS braucht auch UDP!
iptables -A INPUT -p udp --dport 53 -j ACCEPT
# NTP
iptables -A INPUT -p udp --dport 123 -j ACCEPT
# Statefull
iptables -A INPUT -m state --state ESTABLISHED,RELATED -j ACCPET
# Logging
iptables -A INPUT -j LOG --log-prefix "DROP INCOMING: "

# Regeln fuer FORWARD
iptables -A FORWARD -j LOG --log-prefix "DROP FORWARD: "

# Regeln fuer outgoing
# Loopback darf alles
iptables -A OUTPUT -o lo -j ACCEPT
iptables -A OUTPUT -p tcp --dport 22  --syn -m state --state NEW -j ACCEPT
# DNS
iptables -A OUTPUT -p tcp --dport 53  -j ACCEPT
iptables -A OUTPUT -p udp --dport 53  -j ACCEPT
# NTP
iptables -A OUPUT -p udp --dport 123 -j ACCEPT
# Statefull
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
# Logging
iptables -A OUPUT -j LOG --log-prefix "DROP OUTPUT: "

Ich hoffe mal, ich hab auf die Schnelle keine zu grossen Schnitzer eingebaut

[geak]

leider kommt immer noch der fehler (

[nepos]

Und was kommt in deinen Logfiles?
Wenn da nun Pakete gedropt werden, sollte das dein Rechner mit dem Regelsatz von oben nun protokollieren.
Schau doch mal nach und poste die Meldungen, du du nun wegen gedroppten Paketen kriegst.

Gnah, und nen Fehler gefunden:
Aendere mal

Code: Alles auswählen

iptables -A INPUT -p tcp --dport 53 -j ACCEPT 
# DNS braucht auch UDP! 
iptables -A INPUT -p udp --dport 53 -j ACCEPT

in

Code: Alles auswählen

iptables -A INPUT -p tcp --sport 53 -j ACCEPT 
# DNS braucht auch UDP! 
iptables -A INPUT -p udp --sport 53 -j ACCEPT

Wir wollen natuerlich Pakete reinlassen, die von Port 53 kommen, sprich, die Antworten des DNS-Servers

[geak]

ok jetzt funktioniert es DANKE

aber nur wenn ich es so schreibe

iptables -A INPUT -p tcp --sport 53 -j ACCEPT
iptables -A INPUT -p udp --sport 53 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 53 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT

wenn ich es so schreibe
iptables -A INPUT -i eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m udp --sport 1024:65535 --dport 53 -j ACCEPT
iptables -A OUTPUT -o eth0 -p tcp -m tcp --sport 53 --dport 1024:65535 -j ACCEPT
iptables -A OUTPUT -o eth0 -p udp -m udp --sport 53 --dport 1024:65535 -j ACCEPT

dann bekomme ich wieder die fehlermeldung ?

in verschiedenen foren kann man beide schreibweisen finden.
worin besteht der unterschied?

[nepos]

Hm, das -m tcp/udp sollte eigentlich ned noetig sein. Und bei den unteren Regeln sind Source- und Destination-Ports vertauscht. Wenn man sport und dport verdreht, sollten die unteren Regeln auch wieder passen.

[geak]

ok, ich danke dir für die schnelle und gute beantwortung, werd wohl bald mal wieder ne frage haben