forum.opennet.ru - "ntpdate/ntpd не работает без -u" (10)

форумы

помощь

поиск

регистрация

майллист

вход/выход

слежка

"ntpdate/ntpd не работает без -u"

Форум Открытые системы на сервере (Др. сетевые сервисы / Linux)
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"ntpdate/ntpd не работает без -u"	+/–
Сообщение от anonymous (??) on 05-Июл-14, 20:18
Пакеты со 123-го порта не уходят с хоста. Пытаюсь синхронизироваться с локальным сервером по ntp: Без -u: ntpdate 192.168.0.1 5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found С ним: ntpdate -u 192.168.0.1 5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec iptables-save пустой на обоих хостах, полностью убрал правила файрволла на время тестирования. При этом, собираю с обоих хостов во время попытки tcpdump - на клиенте оба раза есть исходящие пакеты (и в первом случае нет входящих, т.е. ответа от сервера), а при опции -u на сервере появляются входящие пакеты и он отвечает. Насколько мне известно, tcpdump ловит еще до netfilter'a. Т.е. пакеты с src port 123 тихо умирают на клиенте(хотя и видны в tcpdump'е!) и до сервера не доходят, а при другом src port - доходят. Есть предположения, что это и как это фиксить?
Ответить \| Правка \| Cообщить модератору

Оглавление

ntpdate/ntpd не работает без -u, Сергей, 23:31 , 06-Июл-14, (1)

ntpdate/ntpd не работает без -u, anonymous, 09:32 , 07-Июл-14, (2)

ntpdate/ntpd не работает без -u, Hammer, 12:03 , 07-Июл-14, (3) +1

ntpdate/ntpd не работает без -u, anonymous, 13:22 , 07-Июл-14, (4)

ntpdate/ntpd не работает без -u, anonymous, 22:53 , 09-Июл-14, (5)

ntpdate/ntpd не работает без -u, pavlinux, 03:11 , 10-Июл-14, (6)

ntpdate/ntpd не работает без -u, Andrey Mitrofanov, 10:09 , 10-Июл-14, (7)

ntpdate/ntpd не работает без -u, anonymous, 17:28 , 10-Июл-14, (8)
ntpdate/ntpd не работает без -u, anonymous, 17:32 , 10-Июл-14, (9)

ntpdate/ntpd не работает без -u, pavlinux, 01:24 , 11-Июл-14, (10)

Сообщения по теме [Сортировка по времени | RSS]

1. "ntpdate/ntpd не работает без -u" +/–

Сообщение от Сергей (??) on 06-Июл-14, 23:31

> Пакеты со 123-го порта не уходят с хоста.
> Пытаюсь синхронизироваться с локальным сервером по ntp:
> Без -u:
> ntpdate 192.168.0.1
>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
> С ним:
> ntpdate -u 192.168.0.1
>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec
  Файером где-то запрещен 123 порт

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

2. "ntpdate/ntpd не работает без -u" +/–

Сообщение от anonymous (??) on 07-Июл-14, 09:32

>> Пакеты со 123-го порта не уходят с хоста.
>> Пытаюсь синхронизироваться с локальным сервером по ntp:
>> Без -u:
>> ntpdate 192.168.0.1
>>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
>> С ним:
>> ntpdate -u 192.168.0.1
>>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec
>   Файером где-то запрещен 123 порт
connected сеть. Файров по пути нет, только коммутатор.

Ответить | Правка | ^ к родителю #1 | Наверх | Cообщить модератору

3. "ntpdate/ntpd не работает без -u" +1 +/–

Сообщение от Hammer (ok) on 07-Июл-14, 12:03

>>> Пакеты со 123-го порта не уходят с хоста.
>>> Пытаюсь синхронизироваться с локальным сервером по ntp:
>>> Без -u:
>>> ntpdate 192.168.0.1
>>>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
>>> С ним:
>>> ntpdate -u 192.168.0.1
>>>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec
>>   Файером где-то запрещен 123 порт
> connected сеть. Файров по пути нет, только коммутатор.
man ntpdate
-u      Direct ntpdate to use an unprivileged port for outgoing packets.
             This is most useful when behind a firewall that blocks incoming
             traffic to privileged ports, and you want to synchronise with
             hosts beyond the firewall.  Note that the -d option always uses
             unprivileged ports.
Что висит на 123? Предполагаю что ntpd.

Ответить | Правка | ^ к родителю #2 | Наверх | Cообщить модератору

4. "ntpdate/ntpd не работает без -u" +/–

Сообщение от anonymous (??) on 07-Июл-14, 13:22

>[оверквотинг удален]
>  This is most useful when behind a firewall that blocks
> incoming
>
>  traffic to privileged ports, and you want to synchronise with
>
>  hosts beyond the firewall.  Note that the -d option
> always uses
>
>  unprivileged ports.
> Что висит на 123? Предполагаю что ntpd.
Прекращайте предполагать и попробуйте запустить ntpdate с висящим на 123-ем порту ntpd.
Будет ошибка вроде такой:
the NTP socket is in use, exiting
Все простые вещи я уже двадцать раз перепроверил. И man тоже много раз прочитал.

Ответить | Правка | ^ к родителю #3 | Наверх | Cообщить модератору

5. "ntpdate/ntpd не работает без -u" +/–

Сообщение от anonymous (??) on 09-Июл-14, 22:53

Итак, как обычно, отвечаю сам себе. Решение: на промежуточном коммутаторе была включена защита от ddos. Как показала практика, защита крайне тупая и блокирует пакеты с src port 123, при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля!

Ответить | Правка | ^ к родителю #0 | Наверх | Cообщить модератору

6. "ntpdate/ntpd не работает без -u" +/–

Сообщение от pavlinux (ok) on 10-Июл-14, 03:11

> при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля!
Чо вуаля, как на другом конце поймут твою задумку, что ты всего лишь изменил заголовок. :D

Ответить | Правка | ^ к родителю #5 | Наверх | Cообщить модератору

7. "ntpdate/ntpd не работает без -u" +/–

Сообщение от Andrey Mitrofanov on 10-Июл-14, 10:09

Да, я тоже не понял, что такое:
>>доп. заголовок в IP пакет (например, ppp).
> Чо вуаля, как на другом конце поймут твою задумку,

Ответить | Правка | ^ к родителю #6 | Наверх | Cообщить модератору

8. "ntpdate/ntpd не работает без -u" +/–

Сообщение от anonymous (??) on 10-Июл-14, 17:28

> Да, я тоже не понял, что такое:
>>>доп. заголовок в IP пакет (например, ppp).
>> Чо вуаля, как на другом конце поймут твою
Защита работает по битовому смещению в заголовке, т.е. не учитывается длина заголовка и возможная инкапсуляция(ip-ip, gre, ppp и другие). В общем и целом, она бесполезна и т.к. это мой сегмент сети, я ее просто выключил.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

9. "ntpdate/ntpd не работает без -u" +/–

Сообщение от anonymous (??) on 10-Июл-14, 17:32

> Да, я тоже не понял, что такое:
>>>доп. заголовок в IP пакет (например, ppp).
>> Чо вуаля, как на другом конце поймут твою задумку,
Поясняя подробнее - в моем примере ntp не работало бы при классической маршрутизации, но работало бы при построенном тоннеле до других роутеров.

Ответить | Правка | ^ к родителю #7 | Наверх | Cообщить модератору

10. "ntpdate/ntpd не работает без -u" +/–

Сообщение от pavlinux (ok) on 11-Июл-14, 01:24

>> Да, я тоже не понял, что такое:
>>>>доп. заголовок в IP пакет (например, ppp).
>>> Чо вуаля, как на другом конце поймут твою задумку,
> Поясняя подробнее - в моем примере ntp не работало бы при классической
> маршрутизации, но работало бы при построенном тоннеле до других роутеров.
Вон оно чо, Михалыч ©

Ответить | Правка | ^ к родителю #9 | Наверх | Cообщить модератору

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. "ntpdate/ntpd не работает без -u"	+/–
Сообщение от Сергей (??) on 06-Июл-14, 23:31
> Пакеты со 123-го порта не уходят с хоста. > Пытаюсь синхронизироваться с локальным сервером по ntp: > Без -u: > ntpdate 192.168.0.1 > 5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found > С ним: > ntpdate -u 192.168.0.1 > 5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec Файером где-то запрещен 123 порт
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	2. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от anonymous (??) on 07-Июл-14, 09:32
	>> Пакеты со 123-го порта не уходят с хоста. >> Пытаюсь синхронизироваться с локальным сервером по ntp: >> Без -u: >> ntpdate 192.168.0.1 >> 5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found >> С ним: >> ntpdate -u 192.168.0.1 >> 5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec > Файером где-то запрещен 123 порт connected сеть. Файров по пути нет, только коммутатор.
	Ответить \| Правка \| ^ к родителю #1 \| Наверх \| Cообщить модератору


	3. "ntpdate/ntpd не работает без -u"	+1 +/–
	Сообщение от Hammer (ok) on 07-Июл-14, 12:03
	>>> Пакеты со 123-го порта не уходят с хоста. >>> Пытаюсь синхронизироваться с локальным сервером по ntp: >>> Без -u: >>> ntpdate 192.168.0.1 >>> 5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found >>> С ним: >>> ntpdate -u 192.168.0.1 >>> 5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec >> Файером где-то запрещен 123 порт > connected сеть. Файров по пути нет, только коммутатор. man ntpdate -u Direct ntpdate to use an unprivileged port for outgoing packets. This is most useful when behind a firewall that blocks incoming traffic to privileged ports, and you want to synchronise with hosts beyond the firewall. Note that the -d option always uses unprivileged ports. Что висит на 123? Предполагаю что ntpd.
	Ответить \| Правка \| ^ к родителю #2 \| Наверх \| Cообщить модератору


	4. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от anonymous (??) on 07-Июл-14, 13:22
	>[оверквотинг удален] > This is most useful when behind a firewall that blocks > incoming > > traffic to privileged ports, and you want to synchronise with > > hosts beyond the firewall. Note that the -d option > always uses > > unprivileged ports. > Что висит на 123? Предполагаю что ntpd. Прекращайте предполагать и попробуйте запустить ntpdate с висящим на 123-ем порту ntpd. Будет ошибка вроде такой: the NTP socket is in use, exiting Все простые вещи я уже двадцать раз перепроверил. И man тоже много раз прочитал.
	Ответить \| Правка \| ^ к родителю #3 \| Наверх \| Cообщить модератору

5. "ntpdate/ntpd не работает без -u"	+/–
Сообщение от anonymous (??) on 09-Июл-14, 22:53
Итак, как обычно, отвечаю сам себе. Решение: на промежуточном коммутаторе была включена защита от ddos. Как показала практика, защита крайне тупая и блокирует пакеты с src port 123, при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля!
Ответить \| Правка \| ^ к родителю #0 \| Наверх \| Cообщить модератору


	6. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от pavlinux (ok) on 10-Июл-14, 03:11
	> при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля! Чо вуаля, как на другом конце поймут твою задумку, что ты всего лишь изменил заголовок. :D
	Ответить \| Правка \| ^ к родителю #5 \| Наверх \| Cообщить модератору


	7. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от Andrey Mitrofanov on 10-Июл-14, 10:09
	Да, я тоже не понял, что такое: >>доп. заголовок в IP пакет (например, ppp). > Чо вуаля, как на другом конце поймут твою задумку,
	Ответить \| Правка \| ^ к родителю #6 \| Наверх \| Cообщить модератору


	8. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от anonymous (??) on 10-Июл-14, 17:28
	> Да, я тоже не понял, что такое: >>>доп. заголовок в IP пакет (например, ppp). >> Чо вуаля, как на другом конце поймут твою Защита работает по битовому смещению в заголовке, т.е. не учитывается длина заголовка и возможная инкапсуляция(ip-ip, gre, ppp и другие). В общем и целом, она бесполезна и т.к. это мой сегмент сети, я ее просто выключил.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	9. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от anonymous (??) on 10-Июл-14, 17:32
	> Да, я тоже не понял, что такое: >>>доп. заголовок в IP пакет (например, ppp). >> Чо вуаля, как на другом конце поймут твою задумку, Поясняя подробнее - в моем примере ntp не работало бы при классической маршрутизации, но работало бы при построенном тоннеле до других роутеров.
	Ответить \| Правка \| ^ к родителю #7 \| Наверх \| Cообщить модератору


	10. "ntpdate/ntpd не работает без -u"	+/–
	Сообщение от pavlinux (ok) on 11-Июл-14, 01:24
	>> Да, я тоже не понял, что такое: >>>>доп. заголовок в IP пакет (например, ppp). >>> Чо вуаля, как на другом конце поймут твою задумку, > Поясняя подробнее - в моем примере ntp не работало бы при классической > маршрутизации, но работало бы при построенном тоннеле до других роутеров. Вон оно чо, Михалыч ©
	Ответить \| Правка \| ^ к родителю #9 \| Наверх \| Cообщить модератору