2017年12月10日

iptablesによるNTP設定 ipv6によるエラー解消

サーバの復旧テストをしていてiptablesの接続をきっかけにntpと通信できなくなりました。udpポート123を許可しても通信してくれないので行き詰まりました。結局ipv6での通信が邪魔をしていたようなので、"/etc/iptables/rules.v4"と同じように"/etc/iptables/rules.v6"を設定すれば直りました。念のため"/etc/ntp.conf"でのサーバ設定も書き直しました。

# ntpq -p
ntpq: write to localhost failed: Operation not permitted
標準NTP照会プログラムエラーが起こる。

#ntpq -4 -p
IPv4指定なら動く。

iptablesの設定をする。
# nano /etc/iptables/rules.v4
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
####ntpクライアントの許可サーバへの接続#######
-A INPUT -p udp --dport 123 -j ACCEPT
-A OUTPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT
-A INPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT
-A INPUT -p udp --dport 123 --sport 123 -j ACCEPT

-A INPUT -p tcp --dport 123 -j ACCEPT
-A OUTPUT -p tcp --sport 123 -j ACCEPT
-A OUTPUT -p tcp --dport 123 -j ACCEPT
-A INPUT -p tcp --sport 123 -j ACCEPT
-A OUTPUT -p tcp --dport 123 --sport 123 -j ACCEPT
-A INPUT -p tcp --dport 123 --sport 123 -j ACCEPT
……


# nano /etc/iptables/rules.v6
:INPUT DROP [0:0]
:FORWARD DROP [0:0]
:OUTPUT DROP [0:0]
####ntpクライアントの許可サーバへの接続#######
-A INPUT -p udp --dport 123 -j ACCEPT
-A OUTPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 -j ACCEPT
-A INPUT -p udp --sport 123 -j ACCEPT
-A OUTPUT -p udp --dport 123 --sport 123 -j ACCEPT
-A INPUT -p udp --dport 123 --sport 123 -j ACCEPT

-A INPUT -p tcp --dport 123 -j ACCEPT
-A OUTPUT -p tcp --sport 123 -j ACCEPT
-A OUTPUT -p tcp --dport 123 -j ACCEPT
-A INPUT -p tcp --sport 123 -j ACCEPT
-A OUTPUT -p tcp --dport 123 --sport 123 -j ACCEPT
-A INPUT -p tcp --dport 123 --sport 123 -j ACCEPT
……


これで通信できるようになったのですが、一応サーバの指定もIPv4にします。
#nano /etc/ntp.conf
……
server -4 ntp.nict.jp
server -4 0.debian.pool.ntp.org iburst
server -4 1.debian.pool.ntp.org iburst
server -4 2.debian.pool.ntp.org iburst
server -4 3.debian.pool.ntp.org iburst
server -4 ntp1.jst.mfeed.ad.jp (210.173.160.27)
server -4 ntp2.jst.mfeed.ad.jp (210.173.160.57)
server -4 ntp3.jst.mfeed.ad.jp (210.173.160.87)
……

ntpdateでの確認をします。
# /etc/init.d/ntp stop
[ ok ] Stopping NTP server: ntpd.
# ntpdate ntp.nict.jp
10 Dec 21:44:34 ntpdate[8974]: adjust time server 133.243.238.244 offset -0.000352 sec

再びntpqでのデータ照会。
# /etc/init.d/ntp start
#ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
*ntp-b2.nict.go. .NICT. 1 u 9 64 377 11.708 0.226 1.402
-jp.dan.me.uk 193.67.79.202 2 u 54 64 377 11.305 -3.071 1.071
+sv01.azsx.net 10.84.87.146 2 u 61 64 377 11.199 -0.522 1.568
-y.ns.gin.ntt.ne 249.224.99.213 2 u 58 64 377 3.048 2.169 1.155
+www6339uj.sakur 129.250.35.250 3 u 58 64 263 29.961 -0.612 0.836
ntp1.jst.mfeed. 133.243.236.17 2 u 3 64 377 10.517 0.848 1.477
ntp2.jst.mfeed. 133.243.236.17 2 u 8 64 377 10.418 0.371 0.805
ntp3.jst.mfeed. 133.243.236.17 2 u 1 64 377 10.203 0.224 0.847


■参考サイト
・多分glibcのアップデートで大幅変更が…
http://femt.ddo.jp/modules/wordpress/?p=3833

・ntpサーバ(CentOS)と自動同期しない場合の設定
https://qiita.com/myabiot/items/273feef3912666c709d3

・iptablesでNTPを許可Add Star
http://d.hatena.ne.jp/iww/20090528/NTP

・iptablesの設定方法
https://help.sakura.ad.jp/hc/ja/articles/206208121-iptables%E3%81%AE%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95

・/etc/ntp/ntp.conf
http://tech.n-linux.com/index.php?%A5%C6%A5%AF%A5%CB%A5%AB%A5%EB%A5%CE%A1%BC%A5%C8%2FNTP%2FNTP%20%A5%B7%A5%EA%A1%BC%A5%BA%20%A5%D1%A1%BC%A5%C8%204%20ntpd%20%A4%CB%A4%E8%A4%EB%A5%ED%A1%BC%A5%AB%A5%EB%A5%DB%A5%B9%A5%C8%A4%CE%BB%FE%B9%EF%C6%B1%B4%FC

・ntpd の IPv6 設定
https://www.manabii.info/2015/05/setting-ntp-conf-for-ipv6.html

Linuxサーバの時刻設定手順とエラー(the NTP socket is in use, exiting)
https://qiita.com/megu_ma/items/bb902740ee7de9ddd102

時刻情報提供サービス for Public
http://www.jst.mfeed.ad.jp/service/02.html

ntpq コマンド説明
http://www.geocities.co.jp/SiliconValley-Bay/9357/ntpq.html
ラベル:サーバ iptables ntp
烏野の箱庭ページ烏野の箱庭 …動画・絵・漫画・脚本などの作品紹介
烏野のyoutubeページ烏野博史動画 …広告・実験・講習用映像のyoutubeチャンネル
烏野のyoutubeページうのひろし日々描描 …作画配信のyoutubeチャンネル
UNOUNOのPixiv …絵、デザイン資料、漫画、実験画像
karasuno10をフォローしましょうkarsauno10のTwitter …考え、宣伝
posted by karasuno10 at 23:06 | Comment(0) | PC技術 | このブログの読者になる | 更新情報をチェックする
この記事へのコメント
コメントを書く
お名前:

メールアドレス:

ホームページアドレス:

コメント: