はじめまして
ntpサーバーが動きません おやじさんに見習いntpd.confを編集したのですが
一向に反応がありません
ntpq -qで変化がありません iptablesの設定ではOUTPUTを記述しましたが消えています
どのように設定すればよいのでしょうか
よろしくご教授おねがいします。
> はじめまして
> ntpサーバーが動きません おやじさんに見習いntpd.confを編集したのですが
> 一向に反応がありません
>
> ntpq -qで変化がありません iptablesの設定ではOUTPUTを記述しましたが消えています
> どのように設定すればよいのでしょうか
おやじのiptablesのコンテンツがおかしいです。どうしたものか?
udp関係の設定が双方向になっていません。(NTPに関しては、INPUTがない)
ただ、NTPは対象が限られているので、下記のように指定して開けるといいと思います。
必要な分、nslookup/digでアドレスを調べて追加してください。
下記な、ntp1.jst.mfeed.ad.jp(210.173.160.27)、ntp2.jst.mfeed.ad.jp(210.173.160.57)
の例です。
因みに、 ntpq -pですよね。
NTP1='210.173.160.27'
NTP2='210.173.160.57'
$IPTABLES -A OUTPUT -d $NTP1 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A INPUT -s $NTP1 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A OUTPUT -d $NTP2 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A INPUT -s $NTP2 -p udp --dport 123 --sport 123 -j ACCEPT
早速のご教授ありがとうございます
先ほどのもの入力いたしますと
このように変更になってしまいます
-A RH-Lokkit-0-50-INPUT -s 210.173.160.57 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -s 210.173.160.27 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
でやっぱり反応ないです
なぜでしょうか?
> -A RH-Lokkit-0-50-INPUT -s 210.173.160.57 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -s 210.173.160.27 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
これで、問い合わせに対する応答が受けられます。
> でやっぱり反応ないです
> なぜでしょうか?
反応がないとはどういう意味ですか?先頭に記号がでないということですか?
少し時間がかかりますよ。poll offset jitter等の値が変わっていっていれば、
そのうちどれかに同期するはずです。
ntpdは起動してますよね?
pollが128が512に offset,jitterはかわりがありません
これで動いているのでしょうか
起動はさせてあります。 /etc/rc.d/init.d/ntpd startで
> pollが128が512に offset,jitterはかわりがありません
> これで動いているのでしょうか
>
> 起動はさせてあります。 /etc/rc.d/init.d/ntpd startで
以上の情報では判断できないので
ntpq -p の結果を貼り付けてください。
remote refid st t when poll reach delay offset jitter
--------------------------------------------------------------------------
ntp1.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
こんな感じで帰ってきます 宜しくお願いいたします。
ルーターとかの設定は123だけ通せばよいのですか?
> pollが128が512に offset,jitterはかわりがありません
> これで動いているのでしょうか
>
> 起動はさせてあります。 /etc/rc.d/init.d/ntpd startで
あまり 指定ntpサーバとの時間がズレている場合は同期が取れないようです。
一旦、ntpdを止めて ntpdateで時刻を合わせてから再度 ntpdを起動してみて
下さい。
同期が取れているかどうかは左側に[*][+][-]等の表示で判りますが、念のため
もう5〜6個 server項を増やしてみてはどうですか?
以下のURLを参照のこと。
http://network.station.ez-net.jp/special/ntp/appendix/A-1.asp
ためになるサイトのご紹介ありがとうございます。
ntpdateもやりましたが 一向に代わりません
ルーターの設定がおかしいのですか?
> remote refid st t when poll reach delay offset jitter
> --------------------------------------------------------------------------
> ntp1.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
> ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
指定している ntpサーバが2つともIPアドレスが変わっているか停止してるか
なので、前にも言ったように指定する ntpサーバを5〜6個増やしてみてはどう
ですか?
おはようございます
朝早くからご教授ありがとうございます
増やしてやってみます ありがとうございます。
増やしてみましたが反応は前と変わらずだめみたいです
Windowsのさくら(ntpサーバー)や,
このLinuxでもntpdate -b ntp2.jst.mfeed.ad.jpでは通信できて同期は取れるので
ルーターの設定は大丈夫だと思いますが
やはりiptablesの設定がよくないのでしょうか saveコマンドもしています
> 増やしてみましたが反応は前と変わらずだめみたいです
> Windowsのさくら(ntpサーバー)や,
> このLinuxでもntpdate -b ntp2.jst.mfeed.ad.jpでは通信できて同期は取れるので
> ルーターの設定は大丈夫だと思いますが
>
> やはりiptablesの設定がよくないのでしょうか saveコマンドもしています
もう1度、/etc/ntp.confの設定内容を確認して下さい。設定がおかしいのかも
知れません。取り敢えず必要な項目は
server xxxx.xxxx.xxxx.xxxx
driftfile /etc/ntp/drift
の2項目だけです。あとはコメントを付けて保存し、ntpdを再起動でどうでしょうか?
その後、試してみたら
restrict default ignone
restrict 127.0.0.1
この2つの項目が有効になっているとダメなようです。
ご参考です。
設定は U-mex さんが仰っている通りです。
ちなみに私の/etc/ntp.confはこれだけです。 (RedHat8)
−−−−ここから−−−−−
#東京理科大学
server 133.31.30.8
#福岡大学
server 133.100.9.2
#広島大学
server 133.41.4.2
driftfile /etc/ntp/drift
−−−−ここまで−−−−−
【スタートする。】
[root@server root]# /etc/init.d/ntpd start
ntpd:時間サーバと同期中: [ OK ]
ntpdを起動中: [ OK ]
【起動直後】
[hoge@server root]$ /usr/sbin/ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
sutns.sut.ac.jp sutntp.sut.ac.j 2 u 13 64 1 38.038 -8.532 0.008
clock.nc.fukuok .GPS. 1 u 9 64 1 36.116 -0.279 0.008
ns.hiroshima-u. c024119.net2191 3 u 5 64 1 32.128 105.760 0.008
【約8分後、福岡大学のサーバーと同期が取れました。】
[hoge@tysd root]$ /usr/sbin/ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
+sutns.sut.ac.jp sutntp.sut.ac.j 2 u 69 128 377 35.918 -17.120 46.994
*clock.nc.fukuok .GPS. 1 u 6 128 277 33.040 -4.460 16.231
+ns.hiroshima-u. c024119.net2191 3 u 62 128 377 214.286 13.389 4.858
H.Tさんもありがとうございます。
先ほど同期が取れました
先頭に*やら+が付いたのが表示されました
こんどはクライアントの同期に取り掛かりたいと思います
何かアドバイスがございましたら教えていただきたく思います
宜しくお願いいたします。
restrict default ignone
restrict 127.0.0.1
この2つの項目が有効になっているとダメなようです
この2行をコメントアウトで問題解決いたしました。
ntpq -p で数字が変化しているようなので大丈夫だと思います
U-max様 いろいろご親切にご指導いただきましてありがとうございました。
こんにちは
よかったですね。
クライアントPCと同期を取る方法
私の場合、クライアントPCにさくら時計を使用しています。
http://www.venus.dti.ne.jp/~uno/software/index.html
使ったことがあればわかると思いますが「NTPサーバー/IPアドレス」欄にサーバー
のIPアドレスを入力するだけです。
ありがとうございます
さくら時計は導入しています がLinuxのクライアントで使用する
設定をと思いまして
> restrict default ignone
> restrict 127.0.0.1
> この2つの項目が有効になっているとダメなようです。
駄目なのではありません。このアプローチは、これはこれであってます。
ただ、restrict default ignoneとしたため、設定が不足しているだけです。
この行の意味は、デフォルトでは全てのアクセスを拒否するという意味なので、
必要な分を開けて上げればよかっただけです。セキュリティと言う意味では
このアプローチは正解です。何もしなければ、外部からのアクセスが可能に
なり、まいさんのntpサーバに同期したり、設定を書き換えたりすることも
できます。(ルータ無しでiptablesの設定がいいかげんだったり、サーバに
udp:123をマッピングしている場合)
restrict 127.0.0.1は自分自身からのアクセス許可です。
同様にアクセス許可する設定をすれば問題ありません。
なお、おやじのHPではNTPサーバをFQDNで書いていますが、restrict指定した
場合は、IPで指定しないと永遠に同期しませんのでIP指定が良いと思います。
以下が、現在のおやじの設定です。
# デフォルトで全てNTPアクセス拒否
restrict default ignore
# ローカルホストからはNTPアクセス許可
restrict 127.0.0.1
# 家庭内クライアントからの問い合わせ許可(ネットワーク指定の場合。ホスト単位でも可)
restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap
restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap
# 外部のNTPサーバへのNTPアクセス許可
restrict 210.173.160.27 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.57 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.87 mask 255.255.255.255 nomodify notrap noquery
restrict 133.100.9.2 mask 255.255.255.255 nomodify notrap noquery
restrict 133.100.11.8 mask 255.255.255.255 nomodify notrap noquery
# 外部のNTPサーバの指定
server 210.173.160.27
server 210.173.160.57
server 210.173.160.87
server 133.100.9.2
server 133.100.11.8
# 変動情報記録ファイルの指定
driftfile /etc/ntp/drift
# 認証の指定
authenticate no
こんばんわ。
なるほど…私のツメが甘かったようですね。何せ、随分前のFreeBSDを使ってた頃に
設定してて、そのままの方法でやってましたから。
確かその頃にセキュリティ云々…の情報を見た記憶があったのですが、すっかり失念
してました。
これからは、そのセキュリティの設定も併せて行うよう心がけましょ。
ありがとうございました。