LINUX.ORG.RU
ФорумAdmin

NTPD. Как к нему отдать доступ из глобальной сети?

 ,


0

1

Господа, выручайте. Подскажите нужное слово в конфигурации NTPd (CentOS 7). Не могу получить доступ из глобальной сети к своему ntp серверу. Игры с restrict не помогли. Как ни крутил, отвечает только на запросы от своей подсети. Очень нужно. Глобальная авария. Времени нет тыкаться. Поднимаю другие сервисы.

★★

ты главное ни при каких обстоятельствах не показывай конфиг/логи/диагностику. пусть местные ванги стараются.

Anoxemian ★★★★★ ()
Ответ на: комментарий от qwe

restrict numeric-address [mask {numeric-mask}] [flag] - задает ограничение доступа: пакеты сортируются и маскам, берется исходный адрес и последовательно сравнивается, от последнего удачного сравнения берется флаг [flag]доступа.

Что в конфиге с рестрикт адрес?

anonymous ()
Ответ на: комментарий от anonymous

Пробовал ставить restrict с маской 0.0.0.0 (как бы всё что может быть), но увы. Пробовал убирать все restrict. Не помогло.

qwe ★★ ()
Ответ на: комментарий от Anoxemian

Тут местная Ванга чешет репу на тему «Какая статистика Вам нужна».

Конфиг:

driftfile /var/lib/ntp/drift

# Permit time synchronization with our time source, but do not
# permit the source to query or modify the service on this system.
restrict default nomodify notrap nopeer noquery

# Permit all access over the loopback interface.  This could
# be tightened as well, but to do so would effect some of
# the administrative functions.
#restrict 127.0.0.1 
#restrict ::1

# Hosts on local network are less restricted.
#restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

# Use public servers from the pool.ntp.org project.
# Please consider joining the pool (http://www.pool.ntp.org/join.html).
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst

#broadcast 192.168.1.255 autokey	# broadcast server
#broadcastclient			# broadcast client
#broadcast 224.0.1.1 autokey		# multicast server
#multicastclient 224.0.1.1		# multicast client
#manycastserver 239.255.254.254		# manycast server
#manycastclient 239.255.254.254 autokey # manycast client

# Enable public key cryptography.
#crypto

includefile /etc/ntp/crypto/pw

# Key file containing the keys and key identifiers used when operating
# with symmetric key cryptography. 
keys /etc/ntp/keys

# Specify the key identifiers which are trusted.
#trustedkey 4 8 42

# Specify the key identifier to use with the ntpdc utility.
#requestkey 8

# Specify the key identifier to use with the ntpq utility.
#controlkey 8

# Enable writing of statistics records.
#statistics clockstats cryptostats loopstats peerstats

# Disable the monitoring facility to prevent amplification attacks using ntpdc
# monlist command when default restrict does not include the noquery flag. See
# CVE-2013-5211 for more details.
# Note: Monitoring will not be disabled with the limited restriction flag.
disable monitor

qwe ★★ ()
Последнее исправление: qwe (всего исправлений: 1)
Ответ на: комментарий от qwe

А глобальные сервера синхронизации какие указаны? Ванга сегодня выходной. Неплохо бы конфиг и лохи.

anonymous ()

Подскажите нужное слово в конфигурации NTPd (CentOS 7)

А там что? Именно ntp (http://www.ntp.org/), или openntpd? Если последний, то «no server suitable for synchronization found» может быть нормой: он крайне долго в готовность может приходить. Но это вообще, не конкретно про CentOS.

AS ★★★★★ ()
Последнее исправление: AS (всего исправлений: 2)
Ответ на: комментарий от anonymous
server 0.centos.pool.ntp.org iburst
server 1.centos.pool.ntp.org iburst
server 2.centos.pool.ntp.org iburst
server 3.centos.pool.ntp.org iburst
qwe ★★ ()
Ответ на: комментарий от AS

Это было бы не плохо.:) В теме вроде нтпд.

anonymous ()
Ответ на: комментарий от qwe

Что логично. Ведь: # Permit all access over the loopback interface. This could # be tightened as well, but to do so would effect some of # the administrative functions. #restrict 127.0.0.1 #restrict ::1

# Hosts on local network are less restricted. #restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap

anonymous ()
Ответ на: комментарий от anonymous

Это сейчас так. И да, логично. Ещё логично что любой адрес с маской 0.0.0.0 должен прокатывать. Но нет, отнюдь.

И что вписать-то? Туплю. Часов тридцать пять не спал.

qwe ★★ ()
Ответ на: комментарий от qwe

Невоспитанная молодежь. Ни читать, ни гуглить, ни думать. Все ждете пока «готовую строчку дадут».

restrict /тут пишем не нули, тут пишем пипи адрес ван интерфейса .0 вместо адреса хоста/ mask /тут маску ван сети/ nomodify

Но вообще этот конфиг не сесурен. Я понимаю, что читать ман - это не для «успешных посонов» и пони бы не обобрили, но просто оставлю это здесь. https://support.ntp.org/bin/view/Support/ConfiguringNTP

anonymous ()
Ответ на: комментарий от anonymous

Сорян затупил. Не надо 0. Просто адрес ван интерфейса.

anonymous ()
Ответ на: комментарий от qwe

Хм... Попробовал ещё раз маску 0.0.0.0... Заработало. Спасибо всем, особенно анонимусу, который научил читать маны и интернеты (конечно, я их почитаю когда до тонкой настройки дело, но когда упало ВСЁ...).

qwe ★★ ()
Последнее исправление: qwe (всего исправлений: 1)
Ответ на: комментарий от qwe

На здоровье! Иди поспи. Никуда твои серваки не убегут. Контора до понедельника все равно отдыхает. Маны наше фсио. И старайся нули не юзать. Биндишь интерфейс - бинди по адресу хоста и/или сети. Зависит от софтины. В понедельник засекурь все это дело. А то навставляют тебе имплификаций, по самые помидоры. Пей пиво, а не смуззи!:))

anonymous ()
Ответ на: комментарий от anonymous

А что такое смузи? Пиво не пью, предпочитаю водку.

Биндить по IP адресу - вопрос спорный.

Контора отдыхает, оборудование (которое, кстати, без батарейки на часах, но дёшево), сволочь, стучится (292 запроса за десять секунд я сейчас глянул).

Даже в понедельник не получится. Если оптимистично, недельки через две.

qwe ★★ ()
Ответ на: комментарий от qwe

С водкой надо аккуратнее. Все таки пыво более одминский напиток. От длительного потреьления водки, мануалы плохо потом усваиваются. Да и закуску придумывать надо...

Спорный не спорный, но работает и если кол анализировать, явное указание лучше по многим причинам. Хотя бы самому проще, запутаться сложнее.

Хмм, а раньше подобные были нагрущки были? Две недели может и не простоять...

anonymous ()
Ответ на: комментарий от AS

Да, спасибо огромное, так красивее. Отлично работает.

qwe ★★ ()
Ответ на: комментарий от anonymous

... потреьления водки, мануалы плохо потом усваиваются...

Не-е-е... От пива усваиваются плохо, а с водочкой получше. Просто укладываются в подсознание.

Спорный не спорный... явное указание лучше...

Вот я и говорю, что спорный. :)

... раньше подобные были нагрущки были?

Всегда были. Несколько десятков тысяч объектов.

qwe ★★ ()
Ответ на: комментарий от anonymous

Угу. Но я чуть позже. Но от души и много.

qwe ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.