Top過去ログ目次掲示板

作成日:2003年10月26日 作成:おやじ
掲示板で過去に質問された内容です。

No.1786 ntpサーバーが動かない

No.1786 投稿時間:2003年10月26日(Sun) 10:42 投稿者名:まい URL:
タイトル:ntpサーバーが動かない

はじめまして
ntpサーバーが動きません おやじさんに見習いntpd.confを編集したのですが
一向に反応がありません 

ntpq -qで変化がありません iptablesの設定ではOUTPUTを記述しましたが消えています
どのように設定すればよいのでしょうか

よろしくご教授おねがいします。

No.1787 投稿時間:2003年10月26日(Sun) 11:31 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:iptablesを修正してください。

> はじめまして
> ntpサーバーが動きません おやじさんに見習いntpd.confを編集したのですが
> 一向に反応がありません 
>
> ntpq -qで変化がありません iptablesの設定ではOUTPUTを記述しましたが消えています
> どのように設定すればよいのでしょうか

 おやじのiptablesのコンテンツがおかしいです。どうしたものか?
udp関係の設定が双方向になっていません。(NTPに関しては、INPUTがない)
ただ、NTPは対象が限られているので、下記のように指定して開けるといいと思います。
必要な分、nslookup/digでアドレスを調べて追加してください。
下記な、ntp1.jst.mfeed.ad.jp(210.173.160.27)、ntp2.jst.mfeed.ad.jp(210.173.160.57)
の例です。
因みに、 ntpq -pですよね。

NTP1='210.173.160.27'
NTP2='210.173.160.57'

$IPTABLES -A OUTPUT -d $NTP1 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A INPUT -s $NTP1 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A OUTPUT -d $NTP2 -p udp --dport 123 --sport 123 -j ACCEPT
$IPTABLES -A INPUT -s $NTP2 -p udp --dport 123 --sport 123 -j ACCEPT

No.1788 投稿時間:2003年10月26日(Sun) 13:34 投稿者名:まい URL:
タイトル:Re: iptablesを修正してください。

早速のご教授ありがとうございます
先ほどのもの入力いたしますと
このように変更になってしまいます

-A RH-Lokkit-0-50-INPUT -s 210.173.160.57 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
-A RH-Lokkit-0-50-INPUT -s 210.173.160.27 -p udp -m udp --sport 123 --dport 123 -j ACCEPT

でやっぱり反応ないです
なぜでしょうか?

No.1789 投稿時間:2003年10月26日(Sun) 14:05 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:反応がないとは?

> -A RH-Lokkit-0-50-INPUT -s 210.173.160.57 -p udp -m udp --sport 123 --dport 123 -j ACCEPT
> -A RH-Lokkit-0-50-INPUT -s 210.173.160.27 -p udp -m udp --sport 123 --dport 123 -j ACCEPT

 これで、問い合わせに対する応答が受けられます。

> でやっぱり反応ないです
> なぜでしょうか?

 反応がないとはどういう意味ですか?先頭に記号がでないということですか?
 少し時間がかかりますよ。poll offset jitter等の値が変わっていっていれば、
そのうちどれかに同期するはずです。
 ntpdは起動してますよね?

No.1791 投稿時間:2003年10月26日(Sun) 16:28 投稿者名:まい URL:
タイトル:Re: 反応がないとは?

pollが128が512に offset,jitterはかわりがありません
これで動いているのでしょうか

起動はさせてあります。 /etc/rc.d/init.d/ntpd startで

No.1792 投稿時間:2003年10月26日(Sun) 17:58 投稿者名:OAK URL:http://kkk.nu/
タイトル:ntpq -p の結果

> pollが128が512に offset,jitterはかわりがありません
> これで動いているのでしょうか
>
> 起動はさせてあります。 /etc/rc.d/init.d/ntpd startで

以上の情報では判断できないので
ntpq -p の結果を貼り付けてください。

No.1795 投稿時間:2003年10月27日(Mon) 02:17 投稿者名:まい URL:
タイトル:Re: ntpq -p の結果

remote refid st t when poll reach delay offset jitter
--------------------------------------------------------------------------
ntp1.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000  0.000 4000.00
ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00

こんな感じで帰ってきます 宜しくお願いいたします。

ルーターとかの設定は123だけ通せばよいのですか?

No.1793 投稿時間:2003年10月26日(Sun) 19:18 投稿者名:U-mex URL:
タイトル:Re^2: 反応がないとは?

> pollが128が512に offset,jitterはかわりがありません
> これで動いているのでしょうか
>
> 起動はさせてあります。 /etc/rc.d/init.d/ntpd startで

あまり 指定ntpサーバとの時間がズレている場合は同期が取れないようです。
一旦、ntpdを止めて ntpdateで時刻を合わせてから再度 ntpdを起動してみて
下さい。

同期が取れているかどうかは左側に[*][+][-]等の表示で判りますが、念のため
もう5〜6個 server項を増やしてみてはどうですか?
以下のURLを参照のこと。
http://network.station.ez-net.jp/special/ntp/appendix/A-1.asp

No.1796 投稿時間:2003年10月27日(Mon) 02:20 投稿者名:まい URL:
タイトル:Re^3: 反応がないとは?

ためになるサイトのご紹介ありがとうございます。

ntpdateもやりましたが 一向に代わりません
ルーターの設定がおかしいのですか? 

No.1798 投稿時間:2003年10月27日(Mon) 05:45 投稿者名:U-mex URL:
タイトル:Re:ntpq -p の結果…ntpサーバを5〜6個増やして下さい。

> remote refid st t when poll reach delay offset jitter
> --------------------------------------------------------------------------
> ntp1.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00
> ntp2.jst.mfeed. 0.0.0.0 16 u - 64 0 0.000 0.000 4000.00

指定している ntpサーバが2つともIPアドレスが変わっているか停止してるか
なので、前にも言ったように指定する ntpサーバを5〜6個増やしてみてはどう
ですか?

No.1799 投稿時間:2003年10月27日(Mon) 08:25 投稿者名:まい URL:
タイトル:ntpサーバを5〜6個増やして下さい。

おはようございます 
朝早くからご教授ありがとうございます
増やしてやってみます ありがとうございます。

No.1802 投稿時間:2003年10月27日(Mon) 10:19 投稿者名:まい URL:
タイトル:Re^2:ntpq -p の結果…ntpサーバを5〜6個増やして下さい。

増やしてみましたが反応は前と変わらずだめみたいです
Windowsのさくら(ntpサーバー)や,
このLinuxでもntpdate -b ntp2.jst.mfeed.ad.jpでは通信できて同期は取れるので
ルーターの設定は大丈夫だと思いますが

やはりiptablesの設定がよくないのでしょうか saveコマンドもしています

No.1803 投稿時間:2003年10月27日(Mon) 11:06 投稿者名:U-mex URL:
タイトル:ntp.confの設定がおかしいのかも。

> 増やしてみましたが反応は前と変わらずだめみたいです
> Windowsのさくら(ntpサーバー)や,
> このLinuxでもntpdate -b ntp2.jst.mfeed.ad.jpでは通信できて同期は取れるので
> ルーターの設定は大丈夫だと思いますが
>
> やはりiptablesの設定がよくないのでしょうか saveコマンドもしています

もう1度、/etc/ntp.confの設定内容を確認して下さい。設定がおかしいのかも
知れません。取り敢えず必要な項目は
server xxxx.xxxx.xxxx.xxxx
driftfile /etc/ntp/drift
の2項目だけです。あとはコメントを付けて保存し、ntpdを再起動でどうでしょうか?

その後、試してみたら
restrict default ignone
restrict 127.0.0.1
この2つの項目が有効になっているとダメなようです。

No.1804 投稿時間:2003年10月27日(Mon) 12:42 投稿者名:H.T URL:
タイトル:私の ntp.conf ご参考です。

ご参考です。
設定は U-mex さんが仰っている通りです。
ちなみに私の/etc/ntp.confはこれだけです。 (RedHat8) 

−−−−ここから−−−−−

 #東京理科大学
 server 133.31.30.8
 #福岡大学
 server 133.100.9.2
 #広島大学
 server 133.41.4.2

 driftfile /etc/ntp/drift

−−−−ここまで−−−−−

【スタートする。】
[root@server root]# /etc/init.d/ntpd start
ntpd:時間サーバと同期中: [ OK ]
ntpdを起動中: [ OK ]

【起動直後】
[hoge@server root]$ /usr/sbin/ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
sutns.sut.ac.jp sutntp.sut.ac.j 2 u 13 64 1 38.038 -8.532 0.008
clock.nc.fukuok .GPS. 1 u 9 64 1 36.116 -0.279 0.008
ns.hiroshima-u. c024119.net2191 3 u 5 64 1 32.128 105.760 0.008

【約8分後、福岡大学のサーバーと同期が取れました。】
[hoge@tysd root]$ /usr/sbin/ntpq -p
remote refid st t when poll reach delay offset jitter
==============================================================================
+sutns.sut.ac.jp sutntp.sut.ac.j 2 u 69 128 377 35.918 -17.120 46.994
*clock.nc.fukuok .GPS. 1 u 6 128 277 33.040 -4.460 16.231
+ns.hiroshima-u. c024119.net2191 3 u 62 128 377 214.286 13.389 4.858

No.1806 投稿時間:2003年10月27日(Mon) 12:54 投稿者名:まい URL:
タイトル:ありがとうございます

H.Tさんもありがとうございます。

先ほど同期が取れました

先頭に*やら+が付いたのが表示されました

こんどはクライアントの同期に取り掛かりたいと思います
何かアドバイスがございましたら教えていただきたく思います
宜しくお願いいたします。

No.1805 投稿時間:2003年10月27日(Mon) 12:49 投稿者名:まい URL:
タイトル:ありがとうございます 問題解決いたしました。

restrict default ignone
restrict 127.0.0.1
この2つの項目が有効になっているとダメなようです

この2行をコメントアウトで問題解決いたしました。

ntpq -p で数字が変化しているようなので大丈夫だと思います

U-max様 いろいろご親切にご指導いただきましてありがとうございました。

No.1807 投稿時間:2003年10月27日(Mon) 13:08 投稿者名:H.T URL:
タイトル:クライアントの対応、私の場合

こんにちは
よかったですね。 

クライアントPCと同期を取る方法
私の場合、クライアントPCにさくら時計を使用しています。
http://www.venus.dti.ne.jp/~uno/software/index.html

使ったことがあればわかると思いますが「NTPサーバー/IPアドレス」欄にサーバー
のIPアドレスを入力するだけです。

No.1810 投稿時間:2003年10月27日(Mon) 18:25 投稿者名:まい URL:
タイトル:Re: クライアントの対応、私の場合

ありがとうございます
さくら時計は導入しています がLinuxのクライアントで使用する
設定をと思いまして 

No.1812 投稿時間:2003年10月27日(Mon) 23:53 投稿者名:おやじ URL:http://www.aconus.com/~oyaji/
タイトル:設定が不足していただけで、セキュリティ上は正解です。

> restrict default ignone
> restrict 127.0.0.1
> この2つの項目が有効になっているとダメなようです。

 駄目なのではありません。このアプローチは、これはこれであってます。
ただ、restrict default ignoneとしたため、設定が不足しているだけです。
この行の意味は、デフォルトでは全てのアクセスを拒否するという意味なので、
必要な分を開けて上げればよかっただけです。セキュリティと言う意味では
このアプローチは正解です。何もしなければ、外部からのアクセスが可能に
なり、まいさんのntpサーバに同期したり、設定を書き換えたりすることも
できます。(ルータ無しでiptablesの設定がいいかげんだったり、サーバに
udp:123をマッピングしている場合)
restrict 127.0.0.1は自分自身からのアクセス許可です。
同様にアクセス許可する設定をすれば問題ありません。
なお、おやじのHPではNTPサーバをFQDNで書いていますが、restrict指定した
場合は、IPで指定しないと永遠に同期しませんのでIP指定が良いと思います。
以下が、現在のおやじの設定です。

# デフォルトで全てNTPアクセス拒否
restrict default ignore
# ローカルホストからはNTPアクセス許可
restrict 127.0.0.1
# 家庭内クライアントからの問い合わせ許可(ネットワーク指定の場合。ホスト単位でも可)
restrict 192.168.0.0 mask 255.255.255.0 notrust nomodify notrap
restrict 192.168.1.0 mask 255.255.255.0 notrust nomodify notrap
# 外部のNTPサーバへのNTPアクセス許可
restrict 210.173.160.27 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.57 mask 255.255.255.255 nomodify notrap noquery
restrict 210.173.160.87 mask 255.255.255.255 nomodify notrap noquery
restrict 133.100.9.2 mask 255.255.255.255 nomodify notrap noquery
restrict 133.100.11.8 mask 255.255.255.255 nomodify notrap noquery
# 外部のNTPサーバの指定
server 210.173.160.27
server 210.173.160.57
server 210.173.160.87
server 133.100.9.2
server 133.100.11.8
# 変動情報記録ファイルの指定
driftfile /etc/ntp/drift
# 認証の指定
authenticate no

No.1815 投稿時間:2003年10月28日(Tue) 20:16 投稿者名:U-mex URL:
タイトル:なるほど…私のツメが甘かったようですね。

こんばんわ。

なるほど…私のツメが甘かったようですね。何せ、随分前のFreeBSDを使ってた頃に
設定してて、そのままの方法でやってましたから。
確かその頃にセキュリティ云々…の情報を見た記憶があったのですが、すっかり失念
してました。

これからは、そのセキュリティの設定も併せて行うよう心がけましょ。
ありがとうございました。


掲示板▲頁先頭