vine-users ML アーカイブ



[vine-users:068835] Re: iptables の ntp エントリについて

  • From: KIKUCHI Junichi <neuz@xxxxxx>
  • Subject: [vine-users:068835] Re: iptables の ntp エントリについて
  • Date: Fri, 26 Nov 2004 02:22:59 +0900
菊池です。

At Thu, 25 Nov 2004 11:23:10 -0500,
Sadanori Horiguchi wrote:

[...]

> 外部からnmapを走らせてみると、以下の様にntpは閉まっています。
> 
> PORT STATE SERVICE
> 22/tcp open ssh
> 80/tcp open http
> 123/tcp closed ntp

ntp サーバを外部に公開しようとしているのですか?

もしそうなら、ntpd が外部からのクエリーに答える設定に
なっていないと、nmap で close と言われます。
ntpd が応答しないのですから。

単に外部の ntp サーバと同期するだけなら、port 123 番を
明示的に開ける必要はないと思います。
そのかわり、ESTABLISHED なパケットを許可します。
ウチも開けていませんが、外部 ntp サーバと同期できています。

> 以下はfirewallスクリプトの全体です。

[...]

余談ですが、iptables の init スクリプトは、手動で作らなくても

 # /sbin/service iptables save

で、現在の iptables 設定が /etc/sysconfig/iptables に保存され、
起動時に /etc/init.d/iptables が読み込んでくれます。

# iptables のスクリプトを作ること自体は問題ありません。

-- 
菊池 順一