我有得到的時候一些奇怪的原因如何在iptables中允許域名?
我設置cron作業運行和更新時使用下面的命令
/usr/sbin/ntpdate pool.ntp.org
問題是命令將無法運行抵消Linux服務器因爲我有一個防火牆(iptables的)
我一直使用的IP,讓我的網絡中的業務:
iptables -A INPUT -p tcp -m tcp -i eth0 -s 11.11.11.11 --dport 5060 -j ACCEPT
I W烏爾德想知道怎麼做,在這種情況下使用域名是pool.ntp.org
或者,也許有人能告訴我一個更好的辦法來保持時鐘同步
請指點
通常情況下,iptables的設置爲限制遠程主機向服務器發起的傳入TCP和UDP連接,除非需要。但是,通過服務器向遠程主機發起的全部出局TCP和UDP連接是允許的,並且狀態保持,這樣的答覆是允許回,像這樣:
# Allow TCP/UDP connections out. Keep state so conns out are allowed back in.
iptables -A INPUT -p tcp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p tcp -m state --state NEW,ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp -m state --state ESTABLISHED -j ACCEPT
iptables -A OUTPUT -p udp -m state --state NEW,ESTABLISHED -j ACCEPT
如果你的iptables是像這樣的設置,它會允許ntpdate與pool.ntp.org建立一個傳出連接,並允許回覆。而且,您仍然可以阻止其他主機啓動的到服務器的傳入連接。
不需要使用cron。使用ntpd,它在後臺運行,並保持你的時鐘不斷同步。 –
即使有可能,這也不是一個好主意(IHMO)。每次規則匹配時,您不想設置防火牆來進行dns查找(這就是我所說的「矯枉過正」)。請記住,您的防火牆依賴於不被稱爲安全的服務。 ;) – deagh
請提出替代方案 – meda