对于我的住宿服务,我将ISP更改为Zoom / Armstrong。 就在这之后,我的NTP守护进程停止工作。 我深深地挖了一下,诊断出这个问题:
无特权的端口正在退出。 例如,当我运行“ntpdate”,我出去了一个高的,没有引导的端口,并得到UDP 123上的响应。这很好。 然而,'ntpd'守护进程也期望在123上出现,并在那里得到答复。 这肯定是一个常见的问题,因为在NTP故障排除指南中直接解决了这个问题 。
为了看看会发生什么,我写了一封详细的电子邮件给阿姆斯特朗的总支持地址。 他们几乎立即回答了一个完整的技术答案! 他们有一切<1024阻止,除了几个端口来支持出站VPN。
所以,这个问题:
我可以使用IPtables基本上重写我的出站UDP 123到2123或类似的东西? 如果我这样做,是否需要有相应的2123-> 123规则来翻译答复? 这看起来像NAT,但是与端口,而不是地址。 我试过,但似乎无法让iptables做我想做的事情。 我不确定是否缺less技巧,或者我尝试了错误的解决scheme。
没错,我可以从cron运行ntpdate,但是失去了NTP的所有调整智能。
试试这个规则(未经testing):
iptables -t nat -A POSTROUTING -p udp --sport 123 -j MASQUERADE --to-ports 1025-65535 你可以使用mangle表来做到这一点,但更常见的是为什么不使用状态模块呢? 我认为这是一个标准的iptablesconfiguration有以下规则:
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
通过这种方式,防火墙上的通孔将被打回去
编辑:
噢,我错过了这是你的ISP封锁,那么这只是一个废话的ISP,保持这个答案的情况下,以帮助别人谁发现这个问题有类似的问题,但不是你的特定的。