dúvida: ntpdate + iptables

crixtiano · 27 de Abril de 2006, 08:56

Estou tendo um problema ao inicializar o Ubuntu.

Quando chega na parte que ele atualiza o relógio, o PC trava.

O fato é que uma etapa antes, no script de inicialização da rede, eu inseri uma linha para configurar as regras de iptables da minha máquina.

Eu acho que a atualização do relógio está tendo problemas com o iptables.

Se eu for rápido, ao digitar CTRL+C , o PC não trava na hora de atualizar o relógio.

Uma dessas vezes, conseguindo entrar no sistema, eu acessei o terminal e fiz isso:

1) iniciei minhas regras do IPTables
2) Executei o ntpdate:

=================================================
$ ntpdate -q pool.ntp.org
$ ntpdate -q pool.ntp.org
27 Apr 08:23:06 ntpdate[8653]: sendto(ns4.your.org): Operation not permitted
27 Apr 08:23:07 ntpdate[8653]: sendto(220.164.192.140): Operation not permitted
27 Apr 08:23:07 ntpdate[8653]: sendto(84-245-29-246.dsl.cambrium.nl): Operation not permitted
27 Apr 08:23:07 ntpdate[8653]: sendto(dsl081-199-165.nyc2.dsl.speakeasy.net): Operation not permitted
27 Apr 08:23:07 ntpdate[8653]: sendto(80.48.239.211): Operation not permitted
27 Apr 08:23:07 ntpdate[8653]: sendto(ns4.your.org): Operation not permitted
(.. lista mais servidores ...)
=================================================

3) Apaguei todas minhas regras do IPTables, "abrindo" minha máquina ao mundo
4) Executei o ntpdate:

=================================================
$ ntpdate -q pool.ntp.org
server 204.9.55.254, stratum 3, offset -12.579593, delay 0.37039
server 220.164.192.140, stratum 2, offset -12.526187, delay 0.69887
server 84.245.29.246, stratum 2, offset -12.574274, delay 0.27620
server 64.81.199.165, stratum 1, offset -12.585447, delay 0.21309
server 80.48.239.211, stratum 2, offset -12.600680, delay 0.30386
server 216.52.237.153, stratum 2, offset -12.590170, delay 0.24460
server 64.52.111.11, stratum 3, offset -12.584287, delay 0.24579
server 82.71.9.63, stratum 3, offset -12.583139, delay 0.32306
server 194.88.2.71, stratum 3, offset -12.576625, delay 0.26361
server 67.111.10.242, stratum 2, offset -12.573886, delay 0.27774
server 69.143.208.242, stratum 3, offset -12.565252, delay 0.20021
server 209.234.76.4, stratum 3, offset -12.593280, delay 0.26563
server 213.251.132.54, stratum 3, offset -12.578582, delay 0.27303
27 Apr 08:38:35 ntpdate[9045]: step time server 64.81.199.165 offset -12.585447 sec
=================================================

Como vêem, se minha máquina estiver "aberta", ou seja, sem regras no IPTables, a atualização do relógio funciona, pois consegue acessar aos servidores.

As minhas regras de configuração do IPTables para essa máquina são essas:

=================================================
   ## Configurando políticas
   ## ---------------------------------------------------------------------
   sudo iptables -P INPUT ACCEPT
   sudo iptables -P FORWARD DROP
   sudo iptables -P OUTPUT DROP

   ## Configurando INPUT
   ## ---------------------------------------------------------------------
   ## Permite entradas para uma faixa de endereços da rede local
   sudo iptables -A INPUT -p tcp -s 192.168.0.0/255.255.255.0 -j ACCEPT
   ##Permite entradas vinda do PC Emulado pelo Qemu
   sudo iptables -A INPUT -s 172.20.0.2 -p all -j ACCEPT
   ## Permite entradas na porta 80 (Apache)
   sudo iptables -A INPUT -p tcp --dport 80 -j ACCEPT
   # Permite que localhost receba dados para localhost
   sudo iptables -A INPUT -p tcp --syn -s 127.0.0.1/255.0.0.0 -j ACCEPT
   # Permite que entre somente pacotes de uma conexão já estabelecida
   sudo iptables -A INPUT -p tcp --syn -j DROP


   echo

   ## Configurando OUTPUT
   ## ---------------------------------------------------------------------
   ## Permite saídas para uma faixa de endereços da rede local
   sudo iptables -A OUTPUT -p tcp -d 192.168.0.0/255.255.255.0 -j ACCEPT

   # Libera uso de serviços que estejam escutando localhost, como o CURPS e o POSTFIX
   sudo iptables -A OUTPUT -s 127.0.0.1 -j ACCEPT
   # Libera a consulta ao servidor DNS
   sudo iptables -A OUTPUT -s $IP_LOCAL -d $IP_DNS -p udp --dport 53 -j ACCEPT
   ## Libera resposta para requisições web vindos de fora (Apache)
   sudo iptables -A OUTPUT -p tcp --sport 80 -j ACCEPT
   # Libera consulta aos serviços da web (HTTP)
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 80 -j ACCEPT
   # Libera consulta aos serviços da web (HTTPS, MSN)
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 443 -j ACCEPT
   # Libera consulta a caixa postal do e-mail (SMTP)
   #sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 25 -j ACCEPT
   # Libera envio de e-mails (POP3)
   #sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 110 -j ACCEPT
   # Libera consulta a caixa postal do GMail
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 995 -j ACCEPT
   # Libera envio de e-mail do GMail
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 465 -j ACCEPT
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 587 -j ACCEPT
   # Libera o uso da rede Jabber
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5222 -j ACCEPT
   # Libera o uso da rede MSN
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 1863 -j ACCEPT
   # Libera o uso do IRC
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6667 -j ACCEPT
   # Libera o uso do ICQ
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5190 -j ACCEPT
   # Libera o uso do YahooMesseger
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 5050 -j ACCEPT
   # Libera o uso do LimeWire
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 6346 -j ACCEPT
   # Libera o acesso a sites de FTP
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 21 -j ACCEPT
   # Libera consulta aos serviços da DialHost
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 2082 -j ACCEPT
   # Libera consulta aos serviços de CHAT da DialHost
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 2084 -j ACCEPT
   # Libera o uso dos servidores de chaves públicas
   sudo iptables -A OUTPUT -s $IP_LOCAL -p tcp --dport 11371 -j ACCEPT
=================================================

Alguém poderia me ajudar me indicando como eu poderia fazer para que o ntpdate pudesse ser "liberado" pelo iptables?

Obrigado

dúvida: ntpdate + iptables

crixtiano