[CentOS-pt-br] Ntp e IpTables!

[Glênio Côrtes Himmen]

Gostaria de reacender esta discussão, estive meio atarefado estes dias sem
conseguir olhar esta situação antes.

Implementei as regras abaixo, parei o servidor de NTP do firewall, atualizei
a hora dele pelo endereço 200 abaixo e dei um restart no serviço NTPD.

#Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem
pelo firewall... inicio...
$IPT -A INPUT -s 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 172.16.0.0/25 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 172.16.0.0/25 -p udp --sport 123 -j ACCEPT
#Liberar porta NTP para o firewall se atualizar e as máquinas atualizarem
pelo firewall... final...

Ao voltar para o Windows e pedir para se atualizar pela Internet, tendo sido
especificado no campo onde fica time.windows.com o endereço do Proxy, recebo
a mensagem abaixo descrita.

Erro enquanto o Windows estava sincronizando com 172.16.0.4. O serviço de
mesmo nível de protocolo não está acessível.

O endereço 78.46.37.9 corresponde ao servidor da Centos, e o endereço
200.189.40.8 corresponde ao servidor b.ntp.br

Tenho firewall do kaspersky habilitado no Windows mas editei a regra de UDP
de entrada e liberei a porta 123.

Glênio Côrtes Himmen
Super. Municipal de Trânsito de Aparecida 
glenio.11622x em aparecida.go.gov.br

-----Mensagem original-----
De: CentOS-pt-br [mailto:centos-pt-br-bounces em centos.org] Em nome de
centos-pt-br-request em centos.org
Enviada em: quarta-feira, 23 de novembro de 2016 10:00
Para: centos-pt-br em centos.org
Assunto: Digest CentOS-pt-br, volume 115, assunto 3

Enviar submissões para a lista de discussão CentOS-pt-br para 
	centos-pt-br em centos.org

Para se cadastrar ou descadastrar via WWW, visite o endereço
	https://lists.centos.org/mailman/listinfo/centos-pt-br
ou, via email, envie uma mensagem com a palavra 'help' no assunto ou corpo
da mensagem para 
	centos-pt-br-request em centos.org

Você poderá entrar em contato com a pessoa que gerencia a lista pelo
endereço
	centos-pt-br-owner em centos.org

Quando responder, por favor edite sua linha Assunto assim ela será mais
específica que "Re: Contents of CentOS-pt-br digest..."


Tópicos de Hoje:

   1. Re: Iptables! (Marcelo Beckmann)


----------------------------------------------------------------------

Message: 1
Date: Tue, 22 Nov 2016 17:51:15 -0200
From: Marcelo Beckmann <marcelobeckmann em bsd.com.br>
To: "Portuguese (Brazilian) CentOS mailing list"
	<centos-pt-br em centos.org>
Subject: Re: [CentOS-pt-br] Iptables!
Message-ID:
	<CAMZoB+ju+aBJMBT4em3OGMLqv2RYJMXcfNQ7xbO=q8Ui3De5zw em mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <
glenio.11622x em aparecida.go.gov.br> escreveu:

> Amigos da lista,
>
> Abaixo tenho uma regra que libera determinados IP's da minha rede para 
> passarem direto para um determinado site em determinadas portas que 
> roda uma aplicação.
>
> Sei que tem como converter essa regra de maneira que o meu firewall 
> possa acessar o site time.windows.com na porta de NTP para atualizar a 
> hora, só que eu não sei como fazer.
>
>
Se for para o próprio firewall fazer o acesso, então isso é tratado nas
cadeias INPUT e OUTPUT, por exemplo:

Obtendo o IP do destino
]$ dig +short time.windows.com
time.microsoft.akadns.net.
13.89.46.24

iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT

Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao
invés do time.windows.com.
No caso eu utilizo no meu /etc/ntp.conf
server 200.144.121.33
server 200.192.112.8
server 200.135.0.3

E adaptando as regras de iptables para esses IPs.



> Gostaria também de criar essa regra permitindo que todos da minha rede 
> acessem o firewall na porta NTP para se atualizarem.
>

Para permitir a sua rede interna consultar o ntp do próprio firewall, você
pode fazer a regra casando com a interface de rede da rede interna e/ou o
endereço da rede interna e a porta, por exemplo:
iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -i
ethX -p udp --sport 123 -j ACCEPT

ou
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT

adaptando ethX e 192.168.0.0/24 para o seu ambiente



>
> Sei que poderia também criar a regra para que todas passem direto 
> nesta porta, mas é melhor não, para não sobrecarregar a NET aqui.
>

Rede interna passando pelo firewall e saindo para a internet então você
trata na FORWARD. Exemplo:

iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j
ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport
123 -j ACCEPT

Essas regras podem variar dependendo da política default e da ordem das
regras, regras já existentes antes, etc..







>
> Vocês podem me ajudar?
>
> A regra é $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m 
> multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
>
> Glênio Côrtes Himmen
> Super. Municipal de Trânsito de Aparecida 
> glenio.11622x em aparecida.go.gov.br
>
>
-------------- Próxima Parte ----------
Um anexo em HTML foi limpo...
URL:
<http://lists.centos.org/pipermail/centos-pt-br/attachments/20161122/874c54a
2/attachment-0001.html>

------------------------------

Subject: Legenda do Digest

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br em centos.org
https://lists.centos.org/mailman/listinfo/centos-pt-br


------------------------------

Fim da Digest CentOS-pt-br, volume 115, assunto 3
*************************************************