iptables ntp server

[schtebo]

Hi zusammen,

ich sehe immer folgenden Eintrag im Firewall-Log. Der Client 8.8.8.8 soll vom NTP Server 141.22.13.9 die Zeit beziehen.

8.8.8.8 = meine offizielle IP Adresse (Beispiel anhand Google DNS)

Dec 22 13:54:19 bismuth kernel: [26657.344071] <INPUT-DROP>IN=tun0 OUT= MAC= SRC=141.22.13.9 DST=8.8.8.8 LEN=76 TOS=0x00 PREC=0x00 TTL=53 ID=3512 DF PROTO=UDP SPT=123 DPT=55195 LEN=56
Dec 22 13:54:21 bismuth kernel: [26659.302807] <OUTPUT-DROP>IN= OUT=tun0 SRC=8.8.8.8 DST=141.22.13.9 LEN=76 TOS=0x00 PREC=0x00 TTL=64 ID=0 DF PROTO=UDP SPT=55195 DPT=123 LEN=56

Folgende Regel ist im Firewallscript hinterlegt.
# NTP
iptables -A INPUT -p udp -s 141.22.13.9 -d 8.8.8.8 --sport 123 --dport 513:65535 -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -s 8.8.8.8 -d 141.22.13.9 --sport 513:65535 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT



Warum erhalte ich den "Drop" obwohl ich es erlaut habe?
Hab ich nen Denkfehler?

Danke

[Cae]

Warum erhalte ich den "Drop" obwohl ich es erlaut habe?

Also funktioniert die Konfiguration? Dann ist zumindest anzumerken, dass die Privilegierten Ports 1-1023 sind, also der Bereich nicht bei 513 anfangen sollte, sondern 1024:65535.

Die naheliegende Erklaerung waere, dass sich das -j LOG-Ziel nicht im nicht unmittelbar vor dem -j DROP oder eben als letzte Regel steht. -j LOG terminiert nicht, sondern das Paket wird in keiner Weise veraendert und in der Tabelle weitergereicht. Ueberpruefen mit iptables-save.

Gruss Cae

--Edit: verdammt. Off-by-one bei den well known ports.

[dufty]

The range for well-known ports managed by the IANA is 0-1023.

SourcePort (wie auch DestinationPort) bei NTP ist 123.