服务器 Gind.cn
  1. 服务器 Gind.cn
  3. CentOS 5上的NTP客户端在Cisco ASA防火墙后面失败
Intereting Posts
NTP正在运行,时钟未同步。 手册能工作 sshd主动(监听),ssh包发送,但sshd不回答 Nodejs:取决于:rlwrap,但它不是可安装的 使用Invoke-Command远程安装SQL 防止用户下载某些文件 后缀 – 从relayhost排除具有特定标头值的消息? 混淆了alias_maps和virtual_alias_maps QNAP TS-410 NAS的性能问题 多次失败login尝试后自动阻止IP地址 IIS 8.5是否支持通配符主机头绑定? 为什么Linuxselect错误的源IP地址 命名和BIND之间的区别 通过AIF创build发票审批日记帐 Azure到Azure灾难恢复协调 我如何检查后缀队列大小?

CentOS 5上的NTP客户端在Cisco ASA防火墙后面失败

我有一个CentOS服务器,我想在其上build立一个NTP客户端来获得准确的服务器时间。 服务器位于具有NAT的本地子网之后,位于ASA 5505防火墙之后,该防火墙充当NAT路由器,并直接连接到互联网DSL调制解调器,没有其他路由器。

问题是CentOS服务器上的NTP客户端从来没有设法与我select的任何NTP服务器同步。 设置ASA 5505作为NTP客户端工作完全正常。 在CentOS服务器上使用相同的IP地址,即使在等待几个小时的时候也不会同步。

ntp.conf是: 

限制127.0.0.1
限制-6 :: 1

服务器127.127.1.0#本地时钟
软性127.127.1.0阶层10

漂移文件/ var / lib / ntp /漂移

键/ etc / ntp / keys

服务器89.109.251.21
服务器176.9.47.150
服务器63.15.238.180

使用ntpq告诉我,这些服务器都没有到达(至less有两个从ASA到达,所以他们没事): 

同行
     当轮询到达延迟偏移抖动时,远程反转

 * LOCAL(0).LOCL。  10升25 64 377 0.000 0.000 0.001
  89.109.251.21 .INIT。  16 u  -  1024 0 0.000 0.000 0.000
  odin.tuxli.ch .INIT。  16 u  -  1024 0 0.000 0.000 0.000
  63.15.238.180。INIT。  16 u  -  1024 0 0.000 0.000 0.000

显示.INIT的那一刻。 在refid上,大概需要一个小时才能变成别的东西,但是“reach”计数器仍然保持在0。

“as”命令如下: 

ind assID status conf reach auth condition last_event cnt 
   1 40263 9614是是无sys.peer可达1
   2 40264 8000是是无拒绝
   3 40265 8000是是无拒绝
   4 40266 8000是是没有拒绝

这甚至在24小时后也不会改变,它总是“拒绝”。

用“rv”查询总是得到“peer_unfit”和“peer_stratum”的响应,这是自阶梯一直停留在16时的自然状态。

听起来像一个networking问题,但我不觉得这个问题。

我在ASA中没有规定限制或允许NTP的端口123。 但理论上我不需要它 – 对于UDP,防火墙应该知道应答数据包是相关/build立的,所以应该让它通过,还是我在这里错了?

或者是与某些authenticationconfiguration有关的问题 – configuration中的ntp密钥行与它有什么关系?

编辑:防火墙ASA 5505configuration(缩写): 


 ASA版本8.2(5)
 !
名
 !
接口Ethernet0 / 0
 交换机端口访问VLAN 2
 !
接口Ethernet0 / 1
 !
接口Ethernet0 / 2
 !
接口Ethernet0 / 3
 !
接口Ethernet0 / 4
 !
接口Ethernet0 / 5
 交换机端口访问VLAN 3
 !
接口Ethernet0 / 6
 交换机端口访问VLAN 3
 !
接口Ethernet0 / 7
 交换机端口访问VLAN 3
 !
接口Vlan1
 名称里面
 安全级别100
  IP地址10.111.11.251 255.255.255.0
 !
接口Vlan2
 外面的名字
 安全级别0
  IP地址192.168.1.2 255.255.255.252
 !
接口Vlan3
 没有转发接口Vlan1
 名称dmz
 安全级别50
  IP地址192.168.240.254 255.255.255.0
 !
 !
 FTP模式被动
时钟时区CEST 1
时钟夏季CEST经常性最后一个星期三2:00最后一个星期日10月2:00
对象组networkingXenServer
 networking对象主机192.168.240.240
 networking对象主机192.168.240.241
 networking对象主机192.168.240.242
访问列表MAILSERVER扩展许可证tcp任何任何eq www
访问列表MAILSERVER扩展许可证tcp任何任何eq https
访问列表MAILSERVER扩展许可tcp任何任何eq smtp
访问列表MAILSERVER扩展许可证tcp任何任何eq ftp
访问列表MAILSERVER扩展许可证tcp任何任何eq ftp数据
访问列表MAILSERVER扩展许可证icmp任何回声答复
访问列表MAILSERVER扩展拒绝IP任何任何日志
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.231 eq 10000
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.231 eq https
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.253 eq 10000
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.253 eq https
 access-list NEPLAN扩展许可证tcp任何对象组XenServer eq https
 access-list NEPLAN扩展许可证tcp任何对象组XenServer eq ssh
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.231 eq www
 access-list NEPLAN扩展许可证tcp任何主机192.168.240.238 eq www
 access-list INTERNET扩展许可ip 192.168.240.0 255.255.255.128任意
访问列表INTERNET扩展许可IP主机192.168.240.136任何
访问列表INTERNET扩展许可IP主机192.168.240.230任何
访问列表INTERNET扩展许可IP主机192.168.240.220任何
访问列表INTERNET扩展许可IP主机192.168.240.221任何
访问列表INTERNET扩展许可IP主机192.168.240.222任何
访问列表INTERNET扩展许可IP主机192.168.240.210任何
访问列表INTERNET扩展许可ip主机192.168.240.211任何
访问列表INTERNET扩展许可证icmp任何回声答复
 access-list INTERNET扩展许可ip对象组XenServer任何
访问列表INTERNET扩展拒绝IP任何任何日志
 mtu 1500以内
 mtu 1500以外
 mtu dmz 1500
 icmp unreachable rate-limit 1 burst-size 1
 ARP超时14400
全球(外部)91界面
全球(DMZ)92界面
 nat(内部)92 10.111.11.0 255.255.255.0
 nat(dmz)91 192.168.240.0 255.255.255.0
静态(dmz,外部)tcp接口https 192.168.240.136 httpsnetworking掩码255.255.255.255
静态(dmz,外部)tcp接口smtp 192.168.240.136 smtpnetworking掩码255.255.255.255
静态(dmz,外部)tcp接口ftp 192.168.240.136 ftpnetworking掩码255.255.255.255
静态(dmz,外部)tcp接口ftp-data 192.168.240.136 ftp-datanetworking掩码255.255.255.255
静态(dmz,外部)tcp接口www 192.168.240.136 www netmask 255.255.255.255
在接口里面访问组NEPLAN
在接口外的access-group MAILSERVER
在接口dmz访问组INTERNET
外线路由0.0.0.0 0.0.0.0 192.168.1.1 1

 ntp服务器89.109.251.21
 ntp服务器176.9.47.150
 ntp服务器63.15.238.180

 WEBVPN

 !
 class-map inspection_default
 匹配默认检查stream量
 !
 !
策略映射types检查dns preset_dns_map
 参数
  消息长度最大客户端自动
  消息长度最大512
 policy-map global_policy
  class inspection_default
  检查dns preset_dns_map
  检查ftp
  检查h323 h225
  检查h323 ras
  检查ip-options
  检查netbios
  检查rsh
  检查rtsp
  检查瘦
  检查esmtp
  检查sqlnet
  检查sunrpc
  检查tftp
  检查一下
  检查xdmcp
 !
服务策略global_policy全局
提示主机名上下文
没有匿名的回家报告
呼叫总部
 configuration文件CiscoTAC-1
  没有活跃
  目标地址http https://tools.cisco.com/its/service/oddce/services/DDCEService
  目的地地址电子邮件[email protected]
  目标传输方法http
  订阅警报组诊断
  订阅警报组环境
  每月定期订阅警报组清单
  每月定期订阅警报组configuration
  订阅警报组遥测每日定期
 Cryptochecksum:590d5cd7306d6a21eb875098d3b33661
 : 结束
 NEP-ASA-SL20-1#

有NTP问题的服务器是192.168.240.240和192.168.240.241(networking对象组XenServer – 这是一个XenServer DomU。已经与另外一个独立的服务器一起尝试过了 – 所以它似乎与Xen没有关系)。

您没有将ASAconfiguration为允许传出NTPstream量,所以不会。 “相关/已build立”的stream量是指正在进行的stream量,例如来自NTP服务器的回复,而不是新启动的stream量,所以这里不适用。

要解决此问题,请为相应的组添加规则,以允许传出的NTP通信。 例如: 

 access-list NEPLAN extended permit udp any any eq 123

解决方法是为目标端口为123的UDP数据包添加一个静态NAT条目(特别是打开该入站端口): 

 static(dmz,outside)udp interface ntp 192.168.240.240 ntp netmask 255.255.255.255

是的,我知道,这不应该是必要的。 打开入站端口123特别不处理它 – 它需要静态NAT条目。 这也显示了我的CentOS服务器发送的UDP数据包的NTP目标和源端口都设置为123。

任何人都可以阐明为什么防火墙拒绝将这个stream量分类为相关stream量? 这是因为源端口是一个“特权”端口,即<1023? 我找不到任何文档或参考。