Hobbystern
Wahl-Debianer
Hallo Gemeinde,
Ich habe ein etwas seltsames Problem in der Nutzung meines seit Jahren stabilen NTP Zeitservers im Netz, er versorgt zahlreiche Geräte und PCs mit der Zeit (die aktuell um 17 Minuten abwich!)
der NTP Server erhält keine vernünftige Zeit mehr - es scheint als ob auf dem PC selber (Debian Lenny) kein Zugriff auf Port 123 UDP möglich sei :
Stoppe ich den NTP Server und nutze ntpdate mit der Option -u (alternativer Port)
Ist die Welt fröhlich.
Das kann ich leider nur mit ntpdate machen, ntp-simple unterstützt keine alternativen Ports und sollte dies ja auch nicht tun (umkonfiguration aller clients..)
Port 123 ist im Router offen für diesen Server - einige Remote Anwender registrieren sich hier ebenfalls - ohne Probleme.
Auf meinem Server läuft iptables mit fail2ban, aber Port 123 ist ausgenommen und offen.
Meine NTP.conf ist auch keine Hexerei
Habt Ihr einen Rat wo ich noch suchen könnte?
LG Stefan
Ich habe ein etwas seltsames Problem in der Nutzung meines seit Jahren stabilen NTP Zeitservers im Netz, er versorgt zahlreiche Geräte und PCs mit der Zeit (die aktuell um 17 Minuten abwich!)
der NTP Server erhält keine vernünftige Zeit mehr - es scheint als ob auf dem PC selber (Debian Lenny) kein Zugriff auf Port 123 UDP möglich sei :
Code:
asterisk:/etc# ntpdate time.nist.gov
27 Dec 06:43:33 ntpdate[8644]: no server suitable for synchronization found
Code:
asterisk:/etc# ntpdate -u time.nist.gov
27 Dec 06:45:36 ntpdate[8650]: adjust time server 192.43.244.18 offset 0.242090 secDas kann ich leider nur mit ntpdate machen, ntp-simple unterstützt keine alternativen Ports und sollte dies ja auch nicht tun (umkonfiguration aller clients..)
Port 123 ist im Router offen für diesen Server - einige Remote Anwender registrieren sich hier ebenfalls - ohne Probleme.
Auf meinem Server läuft iptables mit fail2ban, aber Port 123 ist ausgenommen und offen.
Code:
asterisk:/etc# iptables -L
Chain INPUT (policy ACCEPT)
target prot opt source destination
fail2ban-named-refused-tcp tcp -- anywhere anywhere multiport dports domain,953
fail2ban-ssh tcp -- anywhere anywhere multiport dports ssh
fail2ban-named-refused-udp udp -- anywhere anywhere multiport dports domain,953
fail2ban-ASTERISK all -- anywhere anywhere
Chain FORWARD (policy ACCEPT)
target prot opt source destination
Chain OUTPUT (policy ACCEPT)
target prot opt source destination
Chain fail2ban-ASTERISK (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-named-refused-tcp (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-named-refused-udp (1 references)
target prot opt source destination
RETURN all -- anywhere anywhere
Chain fail2ban-ssh (1 references)
target prot opt source destination
RETURN all -- anywhere anywhereMeine NTP.conf ist auch keine Hexerei
Code:
### Server:/etc/ntp.conf ####################################################
# Abweichungen
driftfile /var/lib/ntp/ntp.drift
# NTP-Server
server ptbtime1.ptb.de
server ptbtime2.ptb.de burst iburst
server time.nist.gov
# Zugriff durch NTP-Server gestatten
restrict ptbtime1.ptb.de
restrict ptbtime2.ptb.de
# Zugriff vom localhost gestatten (ntpq -p)
restrict 127.0.0.1
# Zugriff aus dem internen Netz gestatten
restrict 10.0.0.0 mask 255.255.255.0
# Zugriff aus dem VPN Netz
restrict 10.2.0.0 mask 255.255.0.0
restrict 10.7.0.0 mask 255.255.0.0
restrict 10.9.0.0 mask 255.255.0.0
restrict 10.18.0.0 mask 255.255.0.0
restrict 10.19.0.0 mask 255.255.0.0
restrict 10.20.0.0 mask 255.255.0.0
restrict 10.21.0.0 mask 255.255.0.0
restrict 10.22.0.0 mask 255.255.0.0
restrict 10.23.0.0 mask 255.255.0.0
restrict 10.24.0.0 mask 255.255.0.0
# Zugriff aus den Home Offices
restrict 10.16.0.0 mask 255.255.0.0
# allen anderen Rechnern Zugriff verwehren
restrict default notrust nomodify nopeer
#############################################################################Habt Ihr einen Rat wo ich noch suchen könnte?
LG Stefan
Zuletzt bearbeitet:
