Gostaria de reacender esta discussão, estive meio atarefado estes dias sem conseguir olhar esta situação antes.

Implementei as regras abaixo, parei o servidor de NTP do firewall, atualizei a hora dele pelo endereço 200 abaixo e dei um restart no serviço NTPD.

#Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem pelo firewall... inicio... $IPT -A INPUT -s 78.46.37.9 -p udp --dport 123 -j ACCEPT $IPT -A OUTPUT -d 78.46.37.9 -p udp --dport 123 -j ACCEPT $IPT -A INPUT -s 200.189.40.8 -p udp --dport 123 -j ACCEPT $IPT -A OUTPUT -d 200.189.40.8 -p udp --dport 123 -j ACCEPT $IPT -A INPUT -s 172.16.0.0/25 -p udp --dport 123 -j ACCEPT $IPT -A OUTPUT -d 172.16.0.0/25 -p udp --sport 123 -j ACCEPT #Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem pelo firewall... final...

Ao voltar para o Windows e pedir para se atualizar pela Internet, tendo sido especificado no campo onde fica time.windows.com o endereço do Proxy, recebo a mensagem abaixo descrita.

Erro enquanto o Windows estava sincronizando com 172.16.0.4. O serviço de mesmo nível de protocolo não está acessível.

O endereço 78.46.37.9 corresponde ao servidor da Centos, e o endereço 200.189.40.8 corresponde ao servidor b.ntp.br

Tenho firewall do kaspersky habilitado no Windows mas editei a regra de UDP de entrada e liberei a porta 123.

Glênio Côrtes Himmen Super. Municipal de Trânsito de Aparecida glenio.11622x@aparecida.go.gov.br

-----Mensagem original----- De: CentOS-pt-br [mailto:centos-pt-br-bounces@centos.org] Em nome de centos-pt-br-request@centos.org Enviada em: quarta-feira, 23 de novembro de 2016 10:00 Para: centos-pt-br@centos.org Assunto: Digest CentOS-pt-br, volume 115, assunto 3

Enviar submissões para a lista de discussão CentOS-pt-br para centos-pt-br@centos.org

Para se cadastrar ou descadastrar via WWW, visite o endereço https://lists.centos.org/mailman/listinfo/centos-pt-br ou, via email, envie uma mensagem com a palavra 'help' no assunto ou corpo da mensagem para centos-pt-br-request@centos.org

Você poderá entrar em contato com a pessoa que gerencia a lista pelo endereço centos-pt-br-owner@centos.org

Quando responder, por favor edite sua linha Assunto assim ela será mais específica que "Re: Contents of CentOS-pt-br digest..."

Tópicos de Hoje:

1. Re: Iptables! (Marcelo Beckmann)

----------------------------------------------------------------------

Message: 1 Date: Tue, 22 Nov 2016 17:51:15 -0200 From: Marcelo Beckmann marcelobeckmann@bsd.com.br To: "Portuguese (Brazilian) CentOS mailing list" centos-pt-br@centos.org Subject: Re: [CentOS-pt-br] Iptables! Message-ID: CAMZoB+ju+aBJMBT4em3OGMLqv2RYJMXcfNQ7xbO=q8Ui3De5zw@mail.gmail.com Content-Type: text/plain; charset="utf-8"

Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen < glenio.11622x@aparecida.go.gov.br> escreveu:

Amigos da lista,

Abaixo tenho uma regra que libera determinados IP's da minha rede para passarem direto para um determinado site em determinadas portas que roda uma aplicação.

Sei que tem como converter essa regra de maneira que o meu firewall possa acessar o site time.windows.com na porta de NTP para atualizar a hora, só que eu não sei como fazer.

Se for para o próprio firewall fazer o acesso, então isso é tratado nas cadeias INPUT e OUTPUT, por exemplo:

Obtendo o IP do destino ]$ dig +short time.windows.com time.microsoft.akadns.net. 13.89.46.24

iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT

Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao invés do time.windows.com. No caso eu utilizo no meu /etc/ntp.conf server 200.144.121.33 server 200.192.112.8 server 200.135.0.3

E adaptando as regras de iptables para esses IPs.

Gostaria também de criar essa regra permitindo que todos da minha rede acessem o firewall na porta NTP para se atualizarem.

Para permitir a sua rede interna consultar o ntp do próprio firewall, você pode fazer a regra casando com a interface de rede da rede interna e/ou o endereço da rede interna e a porta, por exemplo: iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -i ethX -p udp --sport 123 -j ACCEPT

ou iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT

adaptando ethX e 192.168.0.0/24 para o seu ambiente

Sei que poderia também criar a regra para que todas passem direto nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.

Rede interna passando pelo firewall e saindo para a internet então você trata na FORWARD. Exemplo:

iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport 123 -j ACCEPT

Essas regras podem variar dependendo da política default e da ordem das regras, regras já existentes antes, etc..

Vocês podem me ajudar?

A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m multiport --dport 3050,3051,5836,5837,725 -j ACCEPT

Glênio Côrtes Himmen Super. Municipal de Trânsito de Aparecida glenio.11622x@aparecida.go.gov.br

-------------- Próxima Parte ---------- Um anexo em HTML foi limpo... URL: http://lists.centos.org/pipermail/centos-pt-br/attachments/20161122/874c54a 2/attachment-0001.html

------------------------------

Subject: Legenda do Digest

_______________________________________________ CentOS-pt-br mailing list CentOS-pt-br@centos.org https://lists.centos.org/mailman/listinfo/centos-pt-br

------------------------------

Fim da Digest CentOS-pt-br, volume 115, assunto 3 *************************************************