Как заставить ntpd слушать только внутренний интерфейс?

Простые/общие вопросы по UNIX системам. Спросите здесь, если вы новичок

Модераторы: vadim64, terminus

Правила форума
Убедительная просьба юзать теги [cоde] при оформлении листингов.
Сообщения не оформленные должным образом имеют все шансы быть незамеченными.
Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 10:48:47

Как настроить ntpd на прослушку только внутренней сети?
Сейчас вот так:

Код: Выделить всё

root     ntpd       924   3  dgram  -> /var/run/logpriv
root     ntpd       924   20 udp4   *:123                 *:*
root     ntpd       924   21 udp4   192.168.5.100:123    *:*
root     ntpd       924   22 udp4   127.0.0.1:123         *:*
root     ntpd       924   23 udp4   1.1.1.1:123      *:*

Хостинговая компания Host-Food.ru
Хостинг HostFood.ru
 

Услуги хостинговой компании Host-Food.ru

Хостинг HostFood.ru

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

Corvin74
рядовой
Сообщения: 30
Зарегистрирован: 2009-03-04 19:13:15
Откуда: Москва
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение Corvin74 » 2014-01-15 12:02:28

Походу никак. Можно закрыть снаружи фаером, и в конфиге прописать соответствующие restrict-ы
В хендбуке вполне подробно всё описано http://www.freebsd.org/doc/ru/books/han ... k-ntp.html
«Только песок не меняется, всё остальное изменчиво.» — Один из джав Анкорхеда

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 12:33:45

Печально (((
Конфиг так и настроен и на фаере закрыто, но хотелось бы побороть это.
Вроде на линуксах ntpd можно настроить на нужную карту.

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 12:38:57

Remove all -I or --interface options from /etc/default/ntp and insert the following into your /etc/ntp.conf:

interface ignore wildcard
interface listen 127.0.0.1
# NOTE: if you want to update your time using remote machines,
# add at least one remote interface address:
#interface listen 2001:db8::1
#interface listen 192.0.2.1
An excerpt from the ntpd(1) manual page about the -i option:

This option also implies not opening other addresses, except wildcard and localhost. Please consider using the configuration file interface command, which is more versatile.
Тока, соответственно, -i надо искать в /etc/rc.d/ntpd
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 12:46:52

Странно

Код: Выделить всё

root@beta:/home/xM # cat /etc/rc.d/ntpd | grep "\-i"
	rc_flags="-u ntpd:ntpd -i ${ntpd_chrootdir} $rc_flags"
при этом

Код: Выделить всё

root@beta:/home/xM # man ntpd | grep "\-i"
root@beta:/home/xM # 
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 12:51:38

там похоже не -i, а -I

Код: Выделить всё

 -I Str interface      Listen on interface

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 12:53:32

alex117 писал(а):там похоже не -i, а -I
:st:
Сижу - копаю.
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 13:00:35

А это вот ничего?

Код: Выделить всё

root     ntpd       924   20 udp4   *:123                 *:*
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 13:05:34

да вижу и че-то теперь ntpd как то странно работает
вроде в процессах висит, а при
/etc/rc.d/ntpd restart пишет, что сервис не запущен

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 13:08:02

alex117 писал(а):да вижу и че-то теперь ntpd как то странно работает
вроде в процессах висит, а при
/etc/rc.d/ntpd restart пишет, что сервис не запущен
Я добился того же удивительного эффекта и думаю какбы его теперь покилять :crazy:
Короче, видимо, прав был товарищ из п.2 - there is no way
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 13:14:20

да kill -TERM номер процесса ntp
и запускать заново, без опции в rc.conf

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 13:14:46

Пишут что openntpd решает проблему вместо ntpd
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 13:15:27

alex117 писал(а):да kill -TERM номер процесса ntp
и запускать заново, без опции в rc.conf
Да понятно. Это я пошутил :pardon:
IT voodoo blog https://kostikov.co

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 13:28:34

Короче поставил я этот openntpd

Код: Выделить всё

root@beta:/home/xM # cd /usr/ports/net/openntpd/
root@beta:/usr/ports/net/openntpd # make config
===> No options to configure
root@beta:/usr/ports/net/openntpd # make install clean
===>   openntpd-4.6_2,2 depends on file: /usr/local/sbin/pkg - found
=> openntpd-4.6.tgz doesn't seem to exist in /usr/ports/distfiles/.
=> Attempting to fetch http://anga.funkfeuer.at/ftp/pub/OpenBSD/OpenNTPD/openntpd-4.6.tgz
openntpd-4.6.tgz                              100% of   29 kB  254 kBps 00m00s
===> Fetching all distfiles required by openntpd-4.6_2,2 for building
===>  Extracting for openntpd-4.6_2,2
...
Конфиг (мой)

Код: Выделить всё

root@beta:/usr/ports/net/openntpd # cat /usr/local/etc/ntpd.conf | grep -v "#"
listen on	127.0.0.1
listen on	192.168.1.2
servers	ru.pool.ntp.org
И результат

Код: Выделить всё

root@beta:/usr/ports/net/openntpd # sockstat | grep ":123"
_ntp     ntpd       14936 4  udp4   192.168.1.2:44587     192.168.1.1:123
_ntp     ntpd       14936 6  udp4   127.0.0.1:123         *:*
_ntp     ntpd       14936 8  udp4   192.168.1.2:123       *:*
И не забываем

Код: Выделить всё

root@beta:/ # cat /etc/rc.conf  | grep ntpd
openntpd_enable="YES"
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-15 13:48:58

ну тогда будем ставить )

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-15 14:01:37

Вылез минус - нет тулзы ntpctl для мониторинга этого хозяйства.
Тока через логи и опцию -v покамест.
Пишет в debug.log
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-16 11:50:39

че то какая то херня с этим openntp.
в логах нет синхронизации и это:
dispatch_imsg in main: pipe closed

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-16 11:56:52

Решение:

Код: Выделить всё

If the error dispatch_imsg in main: pipe closed is shown, and listen on * is in /etc/ntpd.conf, then change it to listen on 0.0.0.0.
пиздец, от чего ушли - к тому и пришли

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-16 13:13:21

alex117 писал(а):че то какая то херня с этим openntp.
в логах нет синхронизации и это:
dispatch_imsg in main: pipe closed
У меня с выше приведённым конфигами всё работало как часы. Сейчас окатился назад на ntpd.
Возможно, файерволл у вас рубит трафик.
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-16 14:07:58

а зачем назад?
он то на портах слушает, но при
ntpdate -q localhost
пишет, что стратум 16 и в логах не может соединиться ни с одим из ntp-серверов
в файере все также как и с ntpd

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-16 14:49:42

короче снес я нафиг все
пока не выпустят адекватную версию - обойдусь без ntp
теперь мне нифига не понятно, что в конфиге из http://www.lissyara.su/articles/freebsd ... _settings/ верно, а что нет и что надо добавить и как пропатчить ntpd

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-16 15:57:01

alex117 писал(а):короче снес я нафиг все
Странное что-то у вас происходит.
В принципе, беды с открытым *:123 я не вижу.
Доступ ограничить можно в конфиге.
IT voodoo blog https://kostikov.co

Аватара пользователя
alex117
ст. сержант
Сообщения: 358
Зарегистрирован: 2010-07-30 13:25:13

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение alex117 » 2014-01-16 17:01:50

xM писал(а):
alex117 писал(а):короче снес я нафиг все
Странное что-то у вас происходит.
В принципе, беды с открытым *:123 я не вижу.
Доступ ограничить можно в конфиге.
Приведите свой конфиг, если не трудно

Аватара пользователя
xM
ст. лейтенант
Сообщения: 1287
Зарегистрирован: 2009-01-15 23:57:41
Откуда: Königsberg
Контактная информация:

Re: Как заставить ntpd слушать только внутренний интерфейс?

Непрочитанное сообщение xM » 2014-01-16 17:53:35

Сервер в локалке 192.168.1.2 который синхронизируется по DC 192.168.1.1

Код: Выделить всё

root@beta:/ # grep -v '#' /etc/ntp.conf
restrict default kod nomodify notrap nopeer noquery
server alfa.blah.blah
restrict alfa.blah.blah
restrict localhost
driftfile /var/db/ntp.drift
logfile /var/log/ntp.log
root@beta:/ # sockstat -4 -p 123
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     ntpd       32829 20 udp4   *:123                 *:*
root     ntpd       32829 22 udp4   192.168.1.2:123       *:*
root     ntpd       32829 26 udp4   127.0.0.1:123         *:*
root@beta:/ # ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.1.1     85.21.78.91      3 u  187  256  377   14.114   -8.588  12.055
Ноутбук на PCBSD

Код: Выделить всё

[xM@pcbsd-4618] ~% grep -v '#' /etc/ntp.conf
server 0.freebsd.pool.ntp.org iburst
server 1.freebsd.pool.ntp.org iburst
server 2.freebsd.pool.ntp.org iburst
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
restrict 127.127.1.0
[xM@pcbsd-4618] ~% sockstat -46 -p 123
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     ntpd       1881  20 udp4   *:123                 *:*
root     ntpd       1881  21 udp6   *:123                 *:*
root     ntpd       1881  22 udp6   ::1:123               *:*
root     ntpd       1881  23 udp6   fe80:3::1:123         *:*
root     ntpd       1881  24 udp4   127.0.0.1:123         *:*
root     ntpd       1881  25 udp6   fe80:5::21c:bfff:feb0:30eb:123 *:*
root     ntpd       1881  26 udp4   192.168.1.155:123     *:*
[xM@pcbsd-4618] ~% ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+shurf.me        194.190.168.1    2 u  336 1024  377   44.400   14.600   0.388
+intek-m.tv      62.76.96.4       3 u  861 1024  377   23.510    2.778   0.470
*guard.qword.ru  194.190.168.1    2 u  870 1024  377   45.654   -5.472   0.249
IT voodoo blog https://kostikov.co