[ntpd] bloqué par mon pare-feu? (résolu)

[sztruks]

Bonjour,


Je me permets de poster une demande d'aide restée sans écho sur le site du zéro. Suite aux recommandations de l'accueil, je suis passé en UTC et je me retrouve à cause du double-boot Windows avec un décalage de deux heures. J'ai configuré ntpd pour contourner le problème, avec un ntp.conf classique:

Code : Tout sélectionner

# Name of the servers ntpd should sync with
# Please respect the access policy as stated by the responsible person.
#server		ntp.example.tld		iburst
server pool.ntp.org
server 0.pl.pool.ntp.org
server 1.pl.pool.ntp.org
server 2.pl.pool.ntp.org
server 3.pl.pool.ntp.org

#server ntplocal.example.com prefer 
#server timeserver.example.org 

# Warning: Using default NTP settings will leave your NTP
# server accessible to all hosts on the Internet.

# A default deny all (including localhost) policy
# To use this define restrictions for all servers and clients
restrict default ignore
#restrict -6 default ignore

# A more open policy, allow access but deny changing the configuration
#restrict default nomodify nopeer
#restrict -6 default nomodify nopeer

# Allow localhost
restrict 127.0.0.1
#restrict -6 ::1


# To allow machines within your network to synchronize
# their clocks with your server, but ensure they are
# not allowed to configure the server or used as peers
# to synchronize against, uncomment this line.
#
#restrict 192.168.0.0 mask 255.255.255.0 nomodify nopeer notrap


# you should not need to modify the following paths
driftfile	/var/lib/ntp/ntp.drift
logfile /var/log/ntp.log

Ntpd fonctionne, mais la commande ntpq -pn me montre que la connexion n'est pas établie, surement parce que mon pare-feu, configuré à partir du wiki archlinux.org, la bloque.
Voici ce que donne iptables -L

Code : Tout sélectionner

Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            ctstate RELATED,ESTABLISHED 
ACCEPT     all  --  anywhere             anywhere            
DROP       all  --  anywhere             anywhere            ctstate INVALID 
ACCEPT     icmp --  anywhere             anywhere            icmp echo-request ctstate NEW 
UDP        udp  --  anywhere             anywhere            ctstate NEW 
TCP        tcp  --  anywhere             anywhere            tcp flags:FIN,SYN,RST,ACK/SYN ctstate NEW 
REJECT     udp  --  anywhere             anywhere            reject-with icmp-port-unreachable 
REJECT     tcp  --  anywhere             anywhere            reject-with tcp-reset 
REJECT     all  --  anywhere             anywhere            reject-with icmp-proto-unreachable 
ACCEPT     tcp  --  phare.normalesup.org  anywhere            tcp dpt:ssh 

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

Chain LOGDROP (0 references)
target     prot opt source               destination         
LOG        all  --  anywhere             anywhere            limit: avg 5/min burst 10 LOG level warning 
DROP       all  --  anywhere             anywhere            

Chain TCP (1 references)
target     prot opt source               destination         
ACCEPT     tcp  --  anywhere             anywhere            tcp dpt:http 

Chain UDP (1 references)
target     prot opt source               destination         
ACCEPT     udp  --  anywhere             anywhere            udp dpt:domain

Je suppose que le firewall bloque car au bout de deux heures, le processus ntpd tourne toujours mais avec une activité effective de 5 ou 6 secondes.
Voici mon everything.log

Code : Tout sélectionner

May 18 10:03:38 localhost ntpd[1605]: ntpd 4.2.6p3@1.2290-o Sun Apr  3 17:50:25 UTC 2011 (1)
May 18 10:03:38 localhost ntpd[1606]: proto: precision = 0.979 usec
May 18 10:03:38 localhost ntpd[1606]: ntp_io: estimated max descriptors: 1024, initial socket boundary: 16
May 18 10:03:38 localhost ntpd[1606]: Listen and drop on 0 v4wildcard 0.0.0.0 UDP 123
May 18 10:03:38 localhost ntpd[1606]: Listen and drop on 1 v6wildcard :: UDP 123
May 18 10:03:38 localhost ntpd[1606]: Listen normally on 2 lo 127.0.0.1 UDP 123
May 18 10:03:38 localhost ntpd[1606]: Listen normally on 3 eth0 192.168.1.81 UDP 123
May 18 10:03:38 localhost ntpd[1606]: Listen normally on 4 eth0 fe80::21d:7dff:fed1:93cc UDP 123
May 18 10:03:38 localhost ntpd[1606]: Listen normally on 5 lo ::1 UDP 123
May 18 10:03:38 localhost ntpd[1606]: peers refreshed

Je maîtrise assez mal iptables et le problème pour mettre une exception est que ces serveurs sont aléatoires, donc si j'ai bien compris le man, je ne peux donc pas autoriser d'adresse précise en utilisant l'option -s. TEst-ce que je prends des risques en authorisant toute connexion par le processus ntpd (-s ntpd) et y-a-t-il un moyen de restreindre en mettant une exception pour les adresses spécifiées dans le ntp.conf?

Merci d'avance!

[benjarobin]

Si tu as un double boot avec Windows il est fortement déconseiller d'utiliser UTC. Il est conseillé de configurer en temps que locale et de ne pas mettre de daemon de configuration d'horloge.

[sztruks]

Merci pour la réponse! Pour être sûr de bien avoir compris: je mets, HARDWARECLOCK="localtime" et !hwclock dans les daemons de mon rc.conf?
Daemons actuels:

DAEMONS=(syslog-ng dbus iptables @wicd alsa @cups)

Le plus idiot, c'est que le boot de windows déconne de toute façon.

[benjarobin]

Tu n'es pas obligé de mettre !hwclock, car il est tout simplement ignoré, ce n'est pas comme les modules ou le module est blacklisté. Mais sinon oui c'est ceci. Attention comme même dans ce cas c'est Windows qui s'occupe de gérer l'horloge, et de faire les changement heure hiver-été... Si seulement windows pouvait gérer l'horloge en UTC...

[sztruks]

Merci! Je repasse en localtime. J'espère que les mises en garde récentes contre le localtime ne portent pas sur l'usage de mon ordinateur (pure bureautique)…