Настроил ntpd. Время с внешних серверов обновляется. Тут все ОК.
Но! Клиенты в локальной сети не могут получить время: таймаут при
соединении на 123 порт. Фаервол отключен.ntp.conf:
===========
server 192.43.244.18 prefer
server 129.6.15.28
server 129.6.15.29
server 195.7.224.135driftfile /etc/ntp.drift
logfile /var/log/ntp.log
enable ntprestrict default ignore
restrict 127.0.0.1
restrict 192.43.244.18 noquery notrap
restrict 129.6.15.28 noquery notrap
restrict 129.6.15.29 noquery notrap
restrict 195.7.224.135 noquery notrap
restrict 192.168.0.0 mask 255.255.0.0 notrust nomodify notrap
restrict 10.0.0.0 mask 255.0.0.0 notrust nomodify notrap
==========================Вывод команд:
# sockstat | grep 123
root ntpd 20950 3 udp4 *:123 *:*
root ntpd 20950 6 udp4 192.168.19.1:123 *:*
root ntpd 20950 7 udp4 212.20.31.113:123 *:*
root ntpd 20950 8 udp4 192.168.1.5:123 *:*
root ntpd 20950 9 udp4 91.201.73.202:123 *:*
root ntpd 20950 10 udp4 127.0.0.1:123 *:*
===========================# ntpdc -c peer
remote local st poll reach delay offset disp
=======================================================================
=time.ision.net. 91.201.73.202 3 64 377 0.11505 -0.003257 0.00145
*time-a.nist.gov 91.201.73.202 1 64 164 0.32263 0.144820 0.07330
=time-b.nist.gov 91.201.73.202 1 1024 75 0.31984 0.140137 0.44725
=time.nist.gov 91.201.73.202 1 512 0 0.00000 0.000000 0.00000
==========================# ntpdc -c sysinfo
system peer: time-a.nist.gov
system peer mode: client
leap indicator: 00
stratum: 2
precision: -19
root distance: 0.32263 s
root dispersion: 0.21306 s
reference ID: [129.6.15.28]
reference time: cb71372f.b7b94a34 Thu, Feb 28 2008 19:35:43.717
system flags: auth monitor ntp kernel stats
jitter: 0.074905 s
stability: 16.857 ppm
broadcastdelay: 0.003998 s
authdelay: 0.000000 s
======================И самое интересное:
# /usr/sbin/ntpdate -buq 192.168.0.1
server 192.168.19.1, stratum 0, offset 0.000000, delay 0.00000
28 Feb 19:39:05 ntpdate[21712]: no server suitable for synchronization foundПодскажите куда рыть!
на первый взгляд все верно. и даже работает.попробуй пообезьянничать.
например:
restrict 127.0.0.1 mask 255.255.255.255
restrict 192.168.19.0 mask 255.255.255.0 #notrust nomodify notrap
restrict 192.168.1.0 mask 255.255.255.0возможно просто не подождал, а пытался на р/ст установить время до того как ntpd стал stratum=2. потому как вначале работы stratum=16 и р/ст с него обновляться не желают.
>Настроил ntpd. Время с внешних серверов обновляется. Тут все ОК.
>Но! Клиенты в локальной сети не могут получить время: таймаут при
>соединении на 123 порт. Фаервол отключен.
>
>Подскажите куда рыть!Убедиться, что сервер работает:
С клиента: nmap -p 123 <ntpd-server>
>Убедиться, что сервер работает:
>С клиента: nmap -p 123 <ntpd-server>В том то и дело, что демон в процессах висит, но порт не слушает.
nmap говорит: 123/tcp filtered ntp
Но в фаерволе allow all from any to any
Какой filtered?
Ни че не понимаю!
>Настроил ntpd. Время с внешних серверов обновляется. Тут все ОК.Сервер ntp, пока не "набрал" необходимой точности, может себе позволить
"вольность" не отвечать на запросы (?или клиент не воспринимает "неточные"
ответы за приемлемые для себя?).>И самое интересное:
># /usr/sbin/ntpdate -buq 192.168.0.1
>server 192.168.19.1, stratum 0, offset 0.000000, delay 0.00000
>28 Feb 19:39:05 ntpdate[21712]: no server suitable for synchronization foundВот оно - "no server suitable" - и есть. Подробнее -- ещё ключ -d добавь.
У меня, например, _цепочка_ ntpd-серверов, у них кроме всего стратум "растёт"
по мере удаления от "интернета", и с сервера со стратумом 5 или выше ntpdate
вообще отказывается брать время.>Подскажите куда рыть!
ntpq ещё может дать какую-то информацию...
>Настроил ntpd. Время с внешних серверов обновляется. Тут все ОК.
>Но! Клиенты в локальной сети не могут получить время: таймаут при
>соединении на 123 порт. Фаервол отключен.
>
>restrict 192.168.0.0 mask 255.255.0.0 notrust nomodify notrap
>restrict 10.0.0.0 mask 255.0.0.0 notrust nomodify notrap
>
>Подскажите куда рыть!man ntp.conf
Access Control Support
restrict
notrust
Deny service unless the packet is cryptographically authenticated.