Как и указано в примере rc.firewall открыл 123 портadd pass udp from my.ext.IP.addr to any 123 keep-state
время по ntpdate синхронизируется, НО: за шлюзом на BSD находятся парочка серверов Linux, которым тоже бы не помешало иметь точное время.
на них выполняю ntpdate и получаю
no server suitable for synchronization found
если открыть файрволл на БСД шлюзе, то синхронизация на Линукс-серверах проходит. Понятно что в ipfw где-то ошибся, но ведь все остальное, написанное по образу и подобию (FTP,HTTP,HTTPS,ICQ,IRC), проходит. М.б., что-то еще надо прописать в правилах?
Извиняюсь за ОФФ, подскажи построчно как ты обновляешь время
я сделал по крону скрипт:ipfw add 20 pass udp from any to any 123
ipfw add 21 pass udp from any 123 to any
ntpdate ntp.psn.ru
ipfw delete 20
ipfw delete 21и у меня правит время без учета разницы +3 часа
>Извиняюсь за ОФФ, подскажи построчно как ты обновляешь время
>я сделал по крону скрипт:да так и обновляю, по крону и все ОК. без разницы в 3 часа.
ntpdate <имя.сервера.ntp>
а правила каждый раз в файрволе переписывать, хм, ну может быть в этом смысл какой-то и есть - "а вдруг сломают?"
>а правила каждый раз в файрволе переписывать, хм, ну может быть в
>этом смысл какой-то и есть - "а вдруг сломают?"а к чему держать порт открытым? обновился, и в тень :-), я не слышал чтобы по 123 были проблемы, но завел себе правило, открыл закрыл если постоянно не нужно.
Чтоже всетаки на разницу во времени то влияет..., может руссификация какая нибудь в rc.conf
>>а правила каждый раз в файрволе переписывать, хм, ну может быть в
>>этом смысл какой-то и есть - "а вдруг сломают?"
>
>а к чему держать порт открытым? обновился, и в тень :-), я
>не слышал чтобы по 123 были проблемы, но завел себе правило,
>открыл закрыл если постоянно не нужно.так ты же не входящие соединения к себе на 123 разрешаешь, а исходящие с непривилегированных портов на 123
>Чтоже всетаки на разницу во времени то влияет..., может руссификация какая нибудь
>в rc.confможет быть, timezone? у меня MSK+00
>Как и указано в примере rc.firewall открыл 123 порт
>
>add pass udp from my.ext.IP.addr to any 123 keep-state
>
>время по ntpdate синхронизируется, НО: за шлюзом на BSD находятся парочка серверов
>Linux, которым тоже бы не помешало иметь точное время.
>
>на них выполняю ntpdate и получаю
>
>no server suitable for synchronization found
>
>если открыть файрволл на БСД шлюзе, то синхронизация на Линукс-серверах проходит. Понятно
>что в ipfw где-то ошибся, но ведь все остальное, написанное по
>образу и подобию (FTP,HTTP,HTTPS,ICQ,IRC), проходит. М.б., что-то еще надо прописать в
>правилах?
а зачем с каждой телеги для синхронизации лезть во внешний мир, есть
синхронизация одного сервера, остальные тачки пусть с ним синхронизуются
>а зачем с каждой телеги для синхронизации лезть во внешний мир,да телег то всего 2 %-), кроме того сервера, что синхронизируется.
>есть
>синхронизация одного сервера, остальные тачки пусть с ним синхронизуютсяНа нем нужно поднять ntpd или я не догоняю чего-то?
А чего ты мучаешься?правило то у тебя только во внешнюю сеть действует.
подставь мои, и увидишь разницу
Увидел в одном треде вариант правилadd divert 8668 ip from any to any via ed0
...
add pass ip from any to 192.168.1.0/24 via ed0
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешение прохождения пакетов в локальную сеть через интерфейс ed0. Но у ed0 реальный адрес и имхо пакет с адресом назначения локальной сети на нем появиться не может, ведь ранее там идет divert. Или это как раз обратное преобразование из "замаскированного" адреса в адрес локальной сети?
Просветите, плз, кто может.так вот, к чему это я. Написал так, как показано, и стали те мои "2 телеги" тоже время получать.
>add divert 8668 ip from any to any via ed0
>...
>add pass ip from any to 192.168.1.0/24 via ed0
>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешениевообще-то если ed0 - внешний интерфейс, то такого правила быть не должно... Ибо действительно пакеты с частными адресами в инет и из инета ходить не должны (и в обычной ситуации не будут).
я, возможно, ошибаюсь, но вообще-то пакет, не предназначенный данной машине-шлюзу, проходит через ipfw правила 2 раза - как входящий и как исходящий. от этого и нужно отталкиваться... соответственно можно (а может и нужно) делать так: правила про входящие пакеты от локалки на внутренний интерфейс втыкаешь перед диверт, правила про исходящие в локалку - после... У меня по крайней мере так работает.
>>add divert 8668 ip from any to any via ed0
>>...
>>add pass ip from any to 192.168.1.0/24 via ed0
>>^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^ - т.е., это разрешение
>
>вообще-то если ed0 - внешний интерфейс, то такого правила быть не должно...
>Ибо действительно пакеты с частными адресами в инет и из инета
>ходить не должны (и в обычной ситуации не будут).
>я, возможно, ошибаюсь, но вообще-то пакет, не предназначенный данной машине-шлюзу, проходит через
>ipfw правила 2 раза - как входящий и как исходящий. от
>этого и нужно отталкиваться... соответственно можно (а может и нужно) делать
>так: правила про входящие пакеты от локалки на внутренний интерфейс втыкаешь
>перед диверт, правила про исходящие в локалку - после... У меня
>по крайней мере так работает.
Лина .. на самом деле везде пишется с точностью наоборот
1. Сначала все для локальной петли.
2. Запрещающие правила для зарезервированных адресов.
3. Диверт.
4. ВСе что касается внешнего интерфейса.
5. Все что касается внутреннего интерфейса.
Вопрос понятия "исходящий" и "входящий" , под этим понимаются абсолютные понятия не зависимо откуда смотреть или все же это относительно .. для внешнего интерфейса пакет входящий для втнуреннего исходящий и наоборот.А вот как считается пакет для вненшего интерфейса который вошел через втнутрениий и падает на внешний.
И как настчет такого посыла
in recv
out recv
out xmit