[CentOS-pt-br] Ntp e IpTables!

[Gl�nio C�rtes Himmen]

Gostaria de reacender esta discuss�o, estive meio atarefado estes dias sem
conseguir olhar esta situa��o antes.

Implementei as regras abaixo, parei o servidor de NTP do firewall, atualizei
a hora dele pelo endere�o 200 abaixo e dei um restart no servi�o NTPD.

#Liberar porta NTP para o firewall se atualizar e as m�quinas atualizarem
pelo firewall... inicio...
$IPT -A INPUT -s 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 78.46.37.9 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 200.189.40.8 -p udp --dport 123 -j ACCEPT
$IPT -A INPUT -s 172.16.0.0/25 -p udp --dport 123 -j ACCEPT
$IPT -A OUTPUT -d 172.16.0.0/25 -p udp --sport 123 -j ACCEPT
#Liberar porta NTP para o firewall se atualizar e as m�quinas atualizarem
pelo firewall... final...

Ao voltar para o Windows e pedir para se atualizar pela Internet, tendo sido
especificado no campo onde fica time.windows.com o endere�o do Proxy, recebo
a mensagem abaixo descrita.

Erro enquanto o Windows estava sincronizando com 172.16.0.4. O servi�o de
mesmo n�vel de protocolo n�o est� acess�vel.

O endere�o 78.46.37.9 corresponde ao servidor da Centos, e o endere�o
200.189.40.8 corresponde ao servidor b.ntp.br

Tenho firewall do kaspersky habilitado no Windows mas editei a regra de UDP
de entrada e liberei a porta 123.

Gl�nio C�rtes Himmen
Super. Municipal de Tr�nsito de Aparecida 
glenio.11622x em aparecida.go.gov.br

-----Mensagem original-----
De: CentOS-pt-br [mailto:centos-pt-br-bounces em centos.org] Em nome de
centos-pt-br-request em centos.org
Enviada em: quarta-feira, 23 de novembro de 2016 10:00
Para: centos-pt-br em centos.org
Assunto: Digest CentOS-pt-br, volume 115, assunto 3

Enviar submiss�es para a lista de discuss�o CentOS-pt-br para 
	centos-pt-br em centos.org

Para se cadastrar ou descadastrar via WWW, visite o endere�o
	https://lists.centos.org/mailman/listinfo/centos-pt-br
ou, via email, envie uma mensagem com a palavra 'help' no assunto ou corpo
da mensagem para 
	centos-pt-br-request em centos.org

Voc� poder� entrar em contato com a pessoa que gerencia a lista pelo
endere�o
	centos-pt-br-owner em centos.org

Quando responder, por favor edite sua linha Assunto assim ela ser� mais
espec�fica que "Re: Contents of CentOS-pt-br digest..."


T�picos de Hoje:

   1. Re: Iptables! (Marcelo Beckmann)


----------------------------------------------------------------------

Message: 1
Date: Tue, 22 Nov 2016 17:51:15 -0200
From: Marcelo Beckmann <marcelobeckmann em bsd.com.br>
To: "Portuguese (Brazilian) CentOS mailing list"
	<centos-pt-br em centos.org>
Subject: Re: [CentOS-pt-br] Iptables!
Message-ID:
	<CAMZoB+ju+aBJMBT4em3OGMLqv2RYJMXcfNQ7xbO=q8Ui3De5zw em mail.gmail.com>
Content-Type: text/plain; charset="utf-8"

Em 16 de novembro de 2016 14:24, Glenio Cortes Himmen <
glenio.11622x em aparecida.go.gov.br> escreveu:

> Amigos da lista,
>
> Abaixo tenho uma regra que libera determinados IP's da minha rede para 
> passarem direto para um determinado site em determinadas portas que 
> roda uma aplica��o.
>
> Sei que tem como converter essa regra de maneira que o meu firewall 
> possa acessar o site time.windows.com na porta de NTP para atualizar a 
> hora, s� que eu n�o sei como fazer.
>
>
Se for para o pr�prio firewall fazer o acesso, ent�o isso � tratado nas
cadeias INPUT e OUTPUT, por exemplo:

Obtendo o IP do destino
]$ dig +short time.windows.com
time.microsoft.akadns.net.
13.89.46.24

iptables -A INPUT -s 13.89.46.24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 13.89.46.24 -p udp --dport 123 -j ACCEPT

Para o Brasil eu prefiro usar IPs de servidores ntp no Brasil mesmo, ao
inv�s do time.windows.com.
No caso eu utilizo no meu /etc/ntp.conf
server 200.144.121.33
server 200.192.112.8
server 200.135.0.3

E adaptando as regras de iptables para esses IPs.



> Gostaria tamb�m de criar essa regra permitindo que todos da minha rede 
> acessem o firewall na porta NTP para se atualizarem.
>

Para permitir a sua rede interna consultar o ntp do pr�prio firewall, voc�
pode fazer a regra casando com a interface de rede da rede interna e/ou o
endere�o da rede interna e a porta, por exemplo:
iptables -A INPUT -i ethX -p udp --dport 123 -j ACCEPT iptables -A OUTPUT -i
ethX -p udp --sport 123 -j ACCEPT

ou
iptables -A INPUT -s 192.168.0.0/24 -p udp --dport 123 -j ACCEPT iptables -A
OUTPUT -d 192.168.0.0/24 -p udp --sport 123 -j ACCEPT

adaptando ethX e 192.168.0.0/24 para o seu ambiente



>
> Sei que poderia tamb�m criar a regra para que todas passem direto 
> nesta porta, mas � melhor n�o, para n�o sobrecarregar a NET aqui.
>

Rede interna passando pelo firewall e saindo para a internet ent�o voc�
trata na FORWARD. Exemplo:

iptables -A FORWARD -s 192.168.0.0/24 -d 13.89.46.24 -p udp --dport 123 -j
ACCEPT iptables -A FORWARD -d 192.168.0.0/24 -s 13.89.46.24 -p udp --sport
123 -j ACCEPT

Essas regras podem variar dependendo da pol�tica default e da ordem das
regras, regras j� existentes antes, etc..







>
> Voc�s podem me ajudar?
>
> A regra � $IPT -t filter -A FORWARD -s $i -d 177.135.250.61 -p udp -m 
> multiport --dport 3050,3051,5836,5837,725 -j ACCEPT
>
> Gl�nio C�rtes Himmen
> Super. Municipal de Tr�nsito de Aparecida 
> glenio.11622x em aparecida.go.gov.br
>
>
-------------- Pr�xima Parte ----------
Um anexo em HTML foi limpo...
URL:
<http://lists.centos.org/pipermail/centos-pt-br/attachments/20161122/874c54a
2/attachment-0001.html>

------------------------------

Subject: Legenda do Digest

_______________________________________________
CentOS-pt-br mailing list
CentOS-pt-br em centos.org
https://lists.centos.org/mailman/listinfo/centos-pt-br


------------------------------

Fim da Digest CentOS-pt-br, volume 115, assunto 3
*************************************************