sntp bloccato

zed · ven 25 feb , 2005 3:25 pm

eccomi di nuovo con un nuovo problema

mi sono accorto (dal syslog) che l'aggiornamento al time server non viene lasciato passarel

%SEC-6-IPACCESSLOGP: list 111 denied udp 193.204.114.233(123) -> xxx.xxx.xxx.xxx(123), 5 packets

#sh sntp

Codice: Seleziona tutto

SNTP server     Stratum   Version    Last Receive
193.204.114.233    16        1        never

non credo di dover "aprire" qualcosa in quanto il router dovrebbe sapere che la connessione proviene da un suo servizio.... ma se non fosse cosi'?

grazie (allego mia conf)

TheIrish · ven 25 feb , 2005 3:34 pm

E invece si

Se dai un'occhiata all'istanza della stateful inspection (established) noterai come sia riservata a TCP. Questo perché è un protocollo orientato alla connessione.
Quindi, sì. Devi scrivere una regola al tuo firewall per far passare i dati sntp

zed · ven 25 feb , 2005 4:07 pm

le leggi di murphy insegnano...

Codice: Seleziona tutto

access-list 111 permit udp any host 193.204.114.233 eq ntp

quindi cancellando le ACL 111 e inserendo la sopracitata prima di

Codice: Seleziona tutto

access-list 111 deny   ip any any log

dovrei essere apposto?

TheIrish · ven 25 feb , 2005 4:35 pm

Beh, direi di no.
Riflettiamo sull'istruzione che hai citato:

access-list 111 permit udp any host 193.204.114.233 eq ntp

che significa: permetti traffico udp proveniente da qualsiasi host verso 193.204.114.233, porta ntp. Direi che non va bene.
Quello che dobbiamo ottenere è:
permetti traffico udp proveniente da 193.204.114.233, porta ntp, verso qualsiasi
Prova a scrivere tu la regola. Il verso qualsiasi non è rischioso, perché non verrebbe comunque NATtato.

zed · ven 25 feb , 2005 5:00 pm

mmhhh... proviamoci:

Codice: Seleziona tutto

access-list 111 permit udp host 193.204.114.233 eq ntp any

?

TheIrish · ven 25 feb , 2005 5:01 pm

Ci siamo

zed · ven 25 feb , 2005 5:03 pm

alla faccia ma cos'e' un foro o una chat?

grazie

sntp bloccato

Login • Iscriviti