problem mit ntpdate

[sneac]

hallo zusammen,
nach jedem reboot steht die uhr meines routers auf 10:30 Uhr im Jahre 1996. das ist ärgerlich also hab ich mir ntpdate installiert. wenn ich jetzt z.b. "ntpdate rtime.urz.tu-dresden.de" eingeben erscheint erst die meldung ~"server konnte nicht erreicht werden" also iptables wieder abgestellt (obwohl ich nur port 22 & 23 für ssh/telnet sperre) und ntpdate kommt mir mit dem nächsten fehler "the NTP socket is in use, exiting". die werden doch nicht etwa einen seit ewigkeiten reservierten port verwenden?? noch was komisches, ich habe alle telnet-/ssh-sessions beendet als die meldung erschien.

gruß, sneac

[HangLoose]

Original geschrieben von sneac

(obwohl ich nur port 22 & 23 für ssh/telnet sperre)

das ist aber nicht grade sinn und zweck einer firewall

und ntpdate kommt mir mit dem nächsten fehler "the NTP socket is in use, exiting". die werden doch nicht etwa einen seit ewigkeiten reservierten port verwenden?? noch was komisches, ich habe alle telnet-/ssh-sessions beendet als die meldung erschien.

nein ntpd verwended udp-port 123. die fehlermeldung deutet eher darauf hin, das durch deinen ersten aufruf, der port schon in beschlag ist.

mach mal ein ps aux | grep ntpdate

und kill den entsprechenden prozeß eventuell. dann ruf das ganze nochmal auf.


Gruß HangLoose

[sneac]

Besten dank HangLoose,
auf dich ist mal wieder verlass
da lief wirklich schon ein ntpdate im hintergrund, hab den beendent und jetzt bekomm ich auch die richtige zeit zurück geliefert.
die sache mit port 22 & 23 ist nur ne übergangslösung, weil ich im moment noch software auf dem router teste von der ich die ports nicht kenne.

gruß, sneac

[Jasper]

fehler "the NTP socket is in use, exiting". die werden doch nicht etwa einen seit ewigkeiten reservierten port verwenden?? noch was komisches, ich habe alle telnet-/ssh-sessions beendet als

bei dir läuft xntpd. ntpdate verwendet den gleichen port (123/udp).

abhilfe schafft, 'ntpdate -u'. und bei der grossen differenz brauchst du garantiert auch noch '-b'. details siehe manpage.

-j

[HangLoose]

hi

sieh dir das hier nochmal an => http://sdb.suse.de/de/sdb/html/xntp.html

du mußt wohl noch hwclock ausführen

[Harry]

genauer: hwclock --systohc

Harry

[sneac]

Hi,
ich hoffe ich kann den thread nochmal aufleben lassen, denn ntpdate kommt nicht an iptables vorbei.

---------script-auszug:------------------
ntpdate ptbtime1.ptb.de ptbtime2.ptb.de time.fu-berlin.de && /sbin/hwclock -uw[r

iptables -A INPUT -p udp -i ppp0 --dport 123 -j ACCEPT
iptables -A INPUT -i ppp0 -j DROP
---------------------------------------------------

nach einem iptables -F INPUT funktionierts einwandfrei. was ist falsch??

gruß, sneac

[Harry]

Original geschrieben von sneac
---------script-auszug:------------------
ntpdate ptbtime1.ptb.de ptbtime2.ptb.de time.fu-berlin.de && /sbin/hwclock -uw[r

iptables -A INPUT -p udp -i ppp0 --dport 123 -j ACCEPT
iptables -A INPUT -i ppp0 -j DROP
---------------------------------------------------

Du benötigst zusätzlich noch die folgende Regel:
iptables -A OUTPUT -p udp -o ppp0 --dport 123 -j ACCEPT

Harry

[sneac]

Original geschrieben von Harry
Du benötigst zusätzlich noch die folgende Regel:
iptables -A OUTPUT -p udp -o ppp0 --dport 123 -j ACCEPT

Harry

Nein, beim OUTPUT hab ich eh alles offen :-)

[Kung]

iptables -I INPUT -p udp -i ppp0 --dport 123 -j ACCEPT

-I damit der eintrag am anfang der Queue steht, notwendig wenn du vorher schon alle ports geschlossen hast,
like
iptables -A -p udp -DROP oder so.

sonst poste ma den anfang deines FW-skriptes

[Jasper]

Original geschrieben von sneac
Nein, beim OUTPUT hab ich eh alles offen :-)

setze am besten eine logging-rule um rauszufinden, welche pakete warum abgelehnt werden.

-j

[sneac]

Original geschrieben von Jasper
setze am besten eine logging-rule um rauszufinden, welche pakete warum abgelehnt werden.

gute idee, hätte ich selber drauf kommen können
hab das jetzt so gelöst:

-----------------------------------------------
#neues targes drop-log erstellen
iptables -N drop-log
iptables -A drop-log -j LOG --log-prefix "Paketfilter: droped: "
iptables -A drop-log -j DROP

iptables -A INPUT -i ppp0 -j drop-log
---------------------------------------------------

nur wo finde ich jetzt das log-file? sorry, für die dumme frage aber das ist mir aus der man-page nicht ersichtlichgewesen.

gruß, sneac

[HangLoose]

hi

das läuft wohl über den syslogd, sofern du nicht einen anderen logdämon installiert hast. also entweder unter /var/log/messages oder /var/log/firewall

[sneac]

also ich fürchte die idee mit dem logfile bringt mich nicht weiter. bin so vorgegangen:
1.datei /var/log/messages gelöscht
2. mit "touch /var/log/messages " neues und leeres logfile erstellt.
3.dann "ntpdate ptbtime1.ptb.de" aufgerufen, was erwartungsgemäß mit host unreachable scheiterte
4. ins logfile geguckt, was aber immer noch leer war!
5.computer neugestartet und 2 stunden gesurft.
6. nochmal ins logfile geguckt. es ist nun 7 MB groß!

das logfile beginnt mit ein paar bootmeldungen, besteht aber sonst nur aus der immer gleichen meldung:

"Nov 11 17:19:59 lan kernel: Paketfilter: droped: IN=ppp0 OUT= MAC= SRC=217.228.16.46 DST=213.23.49.71 LEN=40 TOS=0x00 PREC=0x00 TTL=117 ID=30375 DF PROTO=TCP SPT=1459 DPT=4662 WINDOW=32505 RES=0x00 ACK FIN URGP=0 "

SRC (absender) und SPT (sein port) sind dabei immer unterschiedlich.

----------------------------------------------------------------
was soll einem da noch zu einfallen??
ntpdate wird eindeutig von iptables geblockt (da es nach einem iptables -F INPUT) , hinterlässt aber keine spuren im logfile.

gruß, sneac

PS: was ist mit all den ntpdate usern im forum? habt ihr alle keinen paketfilter/firewall?

[HangLoose]

hi

nur so 'ne idee. du schreibst

Original geschrieben von sneac

3.dann "ntpdate ptbtime1.ptb.de" aufgerufen, was erwartungsgemäß mit host unreachable scheiterte

kann es sein, das er gar nicht von drinnen nach draußen kommt und deshalb am INPUT auch nichts gedropt werden kann, da die anfragen den timeserver gar nicht erreichen?

übrigens kannst du dir mit tail -f /var/log/messages die letzten meldungen in der konsole ansehen, die ausgabe wird dann laufend aktualisiert. mußt aber als root aufrufen.

wie gesagt ist nicht mehr wie ne idee