主页 / server / 问题 / 512821
Accepted
nepdev
Asked: 2013-06-04 05:12:54 +0800 CST

CentOS 5 上的 NTP 客户端在 Cisco ASA 防火墙后面失败

  • 772

我有一台 CentOS 服务器,我想在其上设置 NTP 客户端以获得服务器的准确时间。服务器位于本地子网上,NAT 在 ASA 5505 防火墙后面,充当 NAT 路由器,然后直接连接到互联网 DSL 调制解调器,没有其他路由器。

问题是 CentOS 服务器上的 NTP 客户端永远无法与我选择的任何 NTP 服务器同步。但是,将 ASA 5505 设置为 NTP 客户端完全可以正常工作。在 CentOS 服务器上使用相同的 IP 地址仍然无法同步,即使等待数小时也是如此。

ntp.conf 是:

限制 127.0.0.1
限制 -6 :: 1

服务器 127.127.1.0 # 本地时钟
软糖 127.127.1.0 第 10 层

漂移文件/var/lib/ntp/漂移

密钥/etc/ntp/keys

服务器 89.109.251.21
服务器 176.9.47.150
服务器 63.15.238.180

使用 ntpq 告诉我这些服务器都没有被访问(虽然至少有两个服务器可以随时从 ASA 访问,所以它们没问题):

同行
     remote refid st t when poll reach delay offset 抖动

*本地(0).LOCL。10升 25 64 377 0.000 0.000 0.001
 89.109.251.21.初始化。16 u - 1024 0 0.000 0.000 0.000
 odin.tuxli.ch .INIT。16 u - 1024 0 0.000 0.000 0.000
 63.15.238.180.初始化。16 u - 1024 0 0.000 0.000 0.000

目前显示.INIT。在 refid 上,大约需要一个小时才能变成其他东西,但“到达”计数器仍然保持在 0。

“as”命令给出以下内容:

ind assID status  conf reach auth condition  last_event cnt

  1 40263 9614 是 是 没有 sys.peer 可达 1
  2 40264 8000 是 是 无 拒绝
  3 40265 8000 是 是 无 拒绝
  4 40266 8000 是 是 无 拒绝

这即使在 24 小时后也不会改变,它总是“拒绝”。

使用“rv”查询总是得到响应“peer_unfit”和“peer_stratum”,这是自然的,因为层一直保持在 16。

听起来像是网络问题,但我没有找到问题所在。

我在 ASA 中没有任何规则限制或允许 NTP 端口 123。但理论上我不需要它——对于 UDP,防火墙应该知道回复数据包是相关的/已建立的,所以它应该让它通过,或者我在这里错了?

或者问题是否与某些身份验证配置有关 - 配置中的 ntp 密钥行是否与它有任何关系?

编辑:防火墙 ASA 5505 配置(缩写):

ASA 版本 8.2(5)
!
名字
!
接口 Ethernet0/0
 交换端口访问 vlan 2
!
接口 Ethernet0/1
!
接口 Ethernet0/2
!
接口 Ethernet0/3
!
接口 Ethernet0/4
!
接口 Ethernet0/5
 交换端口访问 vlan 3
!
接口 Ethernet0/6
 交换端口访问 vlan 3
!
接口 Ethernet0/7
 交换端口访问 vlan 3
!
接口 Vlan1
 nameif 里面
 安全等级 100
 IP 地址 10.111.11.251 255.255.255.0
!
接口 Vlan2
 名字如果在外面
 安全级别 0
 IP 地址 192.168.1.2 255.255.255.252
!
接口 Vlan3
 无转发接口 Vlan1
 名称如果DMZ
 安全等级 50
 IP 地址 192.168.240.254 255.255.255.0
!
!
ftp模式被动
时钟时区 CEST 1
时钟夏令时 CEST 循环最后一个星期日 3 月 2:00 最后一个星期日 10 月 2:00
对象组网络 XenServer
 网络对象主机 192.168.240.240
 网络对象主机 192.168.240.241
 网络对象主机 192.168.240.242
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq www
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq https
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq smtp
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq ftp
访问列表 MAILSERVER 扩展许可 tcp 任何任何 eq ftp 数据
访问列表 MAILSERVER 扩展许可 icmp 任何任何回显回复
访问列表 MAILSERVER 扩展拒绝 ip 任何任何日志
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq 10000
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq https
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.253 eq 10000
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.253 eq https
访问列表 NEPLAN 扩展许可 tcp 任何对象组 XenServer eq https
访问列表 NEPLAN 扩展许可 tcp 任何对象组 XenServer eq ssh
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.231 eq www
访问列表 NEPLAN 扩展许可 tcp 任何主机 192.168.240.238 eq www
访问列表互联网扩展许可 ip 192.168.240.0 255.255.255.128 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.136 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.230 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.220 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.221 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.222 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.210 任何
访问列表 INTERNET 扩展许可 ip 主机 192.168.240.211 任何
访问列表 INTERNET 扩展许可 icmp 任何任何回显回复
访问列表 INTERNET 扩展许可 ip 对象组 XenServer 任何
访问列表 INTERNET 扩展拒绝 ip 任何任何日志
mtu在1500以内
mtu 1500以外
mtu DMZ 1500
icmp 无法到达的速率限制 1 突发大小 1
arp 超时 14400
全局(外部)91 接口
全局 (dmz) 92 接口
nat(内部)92 10.111.11.0 255.255.255.0
nat (dmz) 91 192.168.240.0 255.255.255.0
静态(dmz,外部)tcp 接口 https 192.168.240.136 https 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 smtp 192.168.240.136 smtp 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 ftp 192.168.240.136 ftp 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 ftp-data 192.168.240.136 ftp-data 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 www 192.168.240.136 www 网络掩码 255.255.255.255
access-group NEPLAN in interface inside 里面
外部接口中的访问组 MAILSERVER
接口 dmz 中的访问组互联网
外部路线 0.0.0.0 0.0.0.0 192.168.1.1 1

ntp 服务器 89.109.251.21
ntp 服务器 176.9.47.150
ntp 服务器 63.15.238.180

网络VPN

!
类映射 inspection_default
 匹配默认检查流量
!
!
策略映射类型检查 dns preset_dns_map
 参数
  消息长度最大客户端自动
  最大消息长度 512
政策地图 global_policy
 类检查_default
  检查 dns preset_dns_map
  检查 ftp
  检查 h323 h225
  检查 h323 ras
  检查 ip 选项
  检查 netbios
  检查 rsh
  检查 rtsp
  检查瘦
  检查esmtp
  检查 sqlnet
  检查 sunrpc
  检查 tftp
  检查 sip
  检查 xdmcp
!
服务策略 global_policy global
提示主机名上下文
没有回拨匿名报告
给家里打电话
 简介 CiscoTAC-1
  没有活动
  目的地址 http https://tools.cisco.com/its/service/oddce/services/DDCEService
  目标地址电子邮件 [email protected]
  目的地传输方法 http
  订阅警报组诊断
  订阅警报组环境
  每月定期订阅警报组库存
  每月定期订阅警报组配置
  每天定期订阅警报组遥测
密码校验和:590d5cd7306d6a21eb875098d3b33661
: 结尾
NEP-ASA-SL20-1#

NTP 有问题的服务器是 192.168.240.240 和 192.168.240.241(网络对象组 XenServers - 这是一个 XenServer DomU。已经尝试过另一个独立服务器 - 同样的问题,所以它似乎与 Xen 无关)。

linux

2 个回答

  1. 您没有将 ASA 配置为允许传出 NTP 流量,因此它不允许。“相关/已建立”流量是指正在进行的流量,例如来自 NTP 服务器的传入回复,而不是新发起的流量,因此在这里不适用。

    要解决此问题,请为适当的组添加规则以允许传出 NTP 流量。例如:

    access-list NEPLAN extended permit udp any any eq 123
    • 1
  2. Best Answer

    解决方案是为目标端口为 123 的 UDP 数据包添加静态 NAT 条目(并专门打开该入站端口):

    静态(dmz,外部)udp 接口 ntp 192.168.240.240 ntp 网络掩码 255.255.255.255

    是的,我知道,这不应该是必要的。打开入站端口 123 特别不会处理它 - 它确实需要静态 NAT 条目。这也表明我的 CentOS 服务器发送的 UDP 数据包的目标端口和源端口都设置为 123,用于 NTP。

    任何人都可以阐明为什么防火墙拒绝将此流量分类为相关流量吗?这是因为源端口是“特权”端口,即 < 1023 吗?我在任何地方都找不到任何文档或参考资料。

    • 0

相关问题