Pagina 1 di 1
sntp bloccato
Inviato: ven 25 feb , 2005 3:25 pm
da zed
eccomi di nuovo con un nuovo problema
mi sono accorto (dal syslog) che l'aggiornamento al time server non viene lasciato passarel
Codice: Seleziona tutto
%SEC-6-IPACCESSLOGP: list 111 denied udp 193.204.114.233(123) -> xxx.xxx.xxx.xxx(123), 5 packets
#sh sntp
Codice: Seleziona tutto
SNTP server Stratum Version Last Receive
193.204.114.233 16 1 never
non credo di dover "aprire" qualcosa in quanto il router dovrebbe sapere che la connessione proviene da un suo servizio.... ma se non fosse cosi'?
grazie (allego mia conf)
Inviato: ven 25 feb , 2005 3:34 pm
da TheIrish
E invece si
Se dai un'occhiata all'istanza della stateful inspection (established) noterai come sia riservata a TCP. Questo perché è un protocollo orientato alla connessione.
Quindi, sì. Devi scrivere una regola al tuo firewall per far passare i dati sntp
Inviato: ven 25 feb , 2005 4:07 pm
da zed
le leggi di murphy insegnano...
Codice: Seleziona tutto
access-list 111 permit udp any host 193.204.114.233 eq ntp
quindi cancellando le ACL 111 e inserendo la sopracitata prima di
dovrei essere apposto?
Inviato: ven 25 feb , 2005 4:35 pm
da TheIrish
Beh, direi di no.
Riflettiamo sull'istruzione che hai citato:
access-list 111 permit udp any host 193.204.114.233 eq ntp
che significa:
permetti traffico udp proveniente da qualsiasi host verso 193.204.114.233, porta ntp. Direi che non va bene.
Quello che dobbiamo ottenere è:
permetti traffico udp proveniente da 193.204.114.233, porta ntp, verso qualsiasi
Prova a scrivere tu la regola. Il
verso qualsiasi non è rischioso, perché non verrebbe comunque NATtato.
Inviato: ven 25 feb , 2005 5:00 pm
da zed
mmhhh... proviamoci:
Codice: Seleziona tutto
access-list 111 permit udp host 193.204.114.233 eq ntp any
?
Inviato: ven 25 feb , 2005 5:01 pm
da TheIrish
Ci siamo
Inviato: ven 25 feb , 2005 5:03 pm
da zed
alla faccia ma cos'e' un foro o una chat?
grazie