NTPD: utilise un port sans restriction pour la communication
https://stackoverflow.com/questions/232722
italiano
english
français
española
中国
日本の
العربية
Deutsch
한국어
Português
RussianQuestion
Lorsque vous interrogez des serveurs ntp à l'aide de la commande ntpdate , je peux utiliser l'argument -u pour que le port source devienne un port illimité (port 1024 et supérieur).
Avec ntpd, qui est censé fonctionner en arrière-plan, il me semble impossible de trouver le moyen d'activer cette option. Donc, le port source est toujours 123. Il joue horriblement avec la configuration de mon pare-feu.
Existe-t-il une option de configuration dans ntp.conf pour lui faire utiliser un port source aléatoire?
La solution
Cela ne semble pas être possible ... voir le page de dépannage ntp :
Si vous voulez exécuter ntpd, vous devez réparer votre réseau / pare-feu / NAT afin que ntpd puisse avoir un accès complet et illimité au port UDP 123 dans les deux sens.
Si cela n’est pas possible, vous devrez peut-être exécuter ntpd sur le pare-feu lui-même, afin que celui-ci puisse avoir un accès complet et illimité au port UDP 123 dans les deux sens, puis le laisser passer du temps à vos clients internes.
Si cela n’est pas possible, votre seule autre option consiste peut-être à acheter le matériel nécessaire pour vous connecter à un ou plusieurs de vos propres ordinateurs et à exécuter votre propre serveur de temps Stratum 1 ou à acheter un serveur de temps Stratum 1 préemballé.
Autres conseils
J'ai réussi à résoudre ce problème en remplaçant le NTPD officiel par OpenNTPD. Alors que le NTPD officiel est fixé sur le port UDP 123, OpenNTPD utilise des ports sans privilège.
J'ai déjà eu ce problème et je n'ai pas trouvé de solution. J'ai fini par ajouter une entrée à crontab qui exécute ntpdate une fois par heure. Cela donne une bonne résolution pour tout ce que je fais, car mon horloge ne dérive jamais de plus d'une seconde par heure.
Vous ne pouvez pas changer le port NTP mais vous pouvez ajouter une cmd iptables pour le rediriger via un port VPN.
Détails: http://openvpn.net/archive/openvpn- utilisateurs / 2007-11 / msg00223.html
Comme l'a écrit @Andy_Whitfield, ntpd ne peut pas faire cela. Mais il existe des alternatives telles que OpenNTPD et Chrony . Autant que je sache, Chrony est également utilisé par Android.
Dans ma configuration, j'utilise chrony. Il utilise un port sans privilège pour demander aux serveurs distants. Cette technique a beaucoup plus de chances de réussir un NAT. C'est en fait le même mécanisme que ntpdate -q utilise également pour interroger le serveur, mais uniquement lorsqu'il est appelé en tant qu'utilisateur sans privilège.
Je pense que le principal problème pour lequel cela ne fonctionne parfois pas est que beaucoup de routeurs ont NTP eux-mêmes mis en oeuvre pour régler leur horloge interne. Sur ces appareils, le port est en cours d'utilisation et ne peut donc pas être mis en NAT. Cela pourrait même être le cas si le périphérique ne répond pas aux requêtes NTP.
Vous pouvez utiliser le NAT source sur l'hôte exécutant ntpd pour remplacer le port source 123 par un numéro de port supérieur à 1024.
