Gostaria de reacender esta discussão, estive meio atarefado estes dias sem
conseguir olhar esta situação antes.
Implementei as regras abaixo, parei o servidor de NTP do firewall, atualizei
a hora dele pelo endereço 200 abaixo e dei um restart no serviço NTPD.
#Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem
pelo firewall... inicio...
$IPT -A INPUT -s 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 172.16.0.0/25 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 172.16.0.0/25 -p udp --sport 123 -j ACCEPT
#Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem
pelo firewall... final...
Ao voltar para o Windows e pedir para se atualizar pela Internet, tendo sido
especificado no campo onde fica time.windows.com o endereço do Proxy, recebo
a mensagem abaixo descrita.
Erro enquanto o Windows estava sincronizando com 172.16.0.4. O serviço de
mesmo nível de protocolo não está acessível.
O endereço 78.46.37.9 corresponde ao servidor da Centos, e o endereço
200.189.40.8 corresponde ao servidor b.ntp.br
Tenho firewall do kaspersky habilitado no Windows mas editei a regra de UDP
de entrada e liberei a porta 123.
Glênio Côrtes Himmen
Super. Municipal de Trânsito de Aparecida
glenio.11622x(a)aparecida.go.gov.br
-----Mensagem original-----
De: CentOS-pt-br [mailto:centos-pt-br-bounces@centos.org] Em nome de
centos-pt-br-request(a)centos.org
Enviada em: quarta-feira, 23 de novembro de 2016 10:00
Para: centos-pt-br(a)centos.org
Assunto: Digest CentOS-pt-br, volume 115, assunto 3
Enviar submissões para a lista de discussão CentOS-pt-br para
centos-pt-br(a)centos.org
Para se cadastrar ou descadastrar via WWW, visite o endereço
https://lists.centos.org/mailman/listinfo/centos-pt-br
ou, via email, envie uma mensagem com a palavra 'help' no assunto ou corpo
da mensagem para
centos-pt-br-request(a)centos.org
Você poderá entrar em contato com a pessoa que gerencia a lista pelo
endereço
centos-pt-br-owner(a)centos.org
Quando responder, por favor edite sua linha Assunto assim ela será mais
específica que "Re: Contents of CentOS-pt-br digest..."
Tópicos de Hoje:
1. Re: Iptables! (Marcelo Beckmann)
----------------------------------------------------------------------
Message: 1
Date: Tue, 22 Nov 2016 17:51:15 -0200
From: Marcelo Beckmann <marcelobeckmann(a)bsd.com.br>
To: "Portuguese (Brazilian) CentOS mailing list"
<centos-pt-br(a)centos.org>
Subject: Re: [CentOS-pt-br] Iptables!
Message-ID:
<CAMZoB+ju+aBJMBT4em3OGMLqv2RYJMXcfNQ7xbO=q8Ui3De5zw(a)mail.gmail.com>
Content-Type: text/plain; charset="utf-8"
Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <
glenio.11622x(a)aparecida.go.gov.br> escreveu:
> Amigos da lista,
>
> Abaixo tenho uma regra que libera determinados IP's da minha rede para
> passarem direto para um determinado site em determinadas portas que
> roda uma aplicação.
>
> Sei que tem como converter essa regra de maneira que o meu firewall
> possa acessar o site time.windows.com na porta de NTP para atualizar a
> hora, só que eu não sei como fazer.
>
>
Se for para o próprio firewall fazer o acesso, então isso é tratado nas
cadeias INPUT e OUTPUT, por exemplo:
Obtendo o IP do destino
]$ dig +short time.windows.comtime.microsoft.akadns.net.
13.89.46.24
iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT
Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao
invés do time.windows.com.
No caso eu utilizo no meu /etc/ntp.conf
server 200.144.121.33
server 200.192.112.8
server 200.135.0.3
E adaptando as regras de iptables para esses IPs.
> Gostaria também de criar essa regra permitindo que todos da minha rede
> acessem o firewall na porta NTP para se atualizarem.
>
Para permitir a sua rede interna consultar o ntp do próprio firewall, você
pode fazer a regra casando com a interface de rede da rede interna e/ou o
endereço da rede interna e a porta, por exemplo:
iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -i
ethX -p udp --sport 123 -j ACCEPT
ou
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT
adaptando ethX e 192.168.0.0/24 para o seu ambiente
>
> Sei que poderia também criar a regra para que todas passem direto
> nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.
>
Rede interna passando pelo firewall e saindo para a internet então você
trata na FORWARD. Exemplo:
iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j
ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport
123 -j ACCEPT
Essas regras podem variar dependendo da política default e da ordem das
regras, regras já existentes antes, etc..
>
> Vocês podem me ajudar?
>
> A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m
> multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
>
> Glênio Côrtes Himmen
> Super. Municipal de Trânsito de Aparecida
> glenio.11622x(a)aparecida.go.gov.br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL:
<http://lists.centos.org/pipermail/centos-pt-br/attachments/20161122/874c54a
2/attachment-0001.html>
------------------------------
Subject: Legenda do Digest
_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br(a)centos.org
https://lists.centos.org/mailman/listinfo/centos-pt-br
------------------------------
Fim da Digest CentOS-pt-br, volume 115, assunto 3
*************************************************
Amigos da lista,
Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.
Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site time.windows.com na porta de NTP para atualizar a hora, só que eu não sei como fazer.
Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.
Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.
Vocês podem me ajudar?
A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
Glênio Côrtes Himmen
Super. Municipal de Trânsito de Aparecida
glenio.11622x(a)aparecida.go.gov.br
Dae galera, tudo bom ?
Seguinte, estou construindo um cluster beowulf usando centOS 7. Parte da
configuraçao està ok, porém, ainda nao consigo configurar o PVFS2.
Alguèm de vocês saberia um bom tutorial para a configuração do cluster ?
Abraço !