Zugriff auf NTP-Server von Blau

MJ555
Posts: 17
Joined: October 30th, 2018, 11:59 am

Zugriff auf NTP-Server von Blau

Post by MJ555 » January 11th, 2019, 2:08 pm

Hallo,

ich möchte von Blau aus auf den IPfire-NTP-Server UDP 123 zugreifen. Im Log erhalte ich

'DROP_Wirelessinput blue0 UDP ... 123'.

Unter Firewall7Zugriff auf Blau habe ich die Geräte eingetragen.

Die Firewall-Richtline steht jeweils auf DROP DROP DROP

Wie muss ich die Regel exakt einrichten, damit ein Zugriff möglich ist? Was mache ich falsch? Vorab bereits vielen Dank für die Hilfe!

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 11th, 2019, 8:12 pm

Du vergibst die blauen IP-Adressen auch über den DHCP-Server (blau) von IPFire?

Ich habe dort als NTP-IP-Adresse das Gateway des blauen Netzes vergeben, ich denke dies funktioniert so korrekt oder anders gesagt, der blaue NTP-Server entspricht dem Gateway des blauen Netzwerks:
NTP blue.png
Michael
Image

MJ555
Posts: 17
Joined: October 30th, 2018, 11:59 am

Re: Zugriff auf NTP-Server von Blau

Post by MJ555 » January 12th, 2019, 2:18 pm

Hier war in der Tat kein NTP-Server eingetragen. Habe diesen nachgetragen, aber es funktioniert trotzdem nicht.
Die IP's für die Geräte sidn jedoch fest ohne DCHP vergeben.

Unter Firewall/Zugriff auf Blau sind diese auch eingetragen. Abweichend vom Standard hab ich unter Firewall/Firewalloptionen Standardverhalten der Firewall bei FORWARD auf 'Blockiert' stehen. Nur wie muss ich die Regel eintragen, damit es für das Gerät dann funktioniert?

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 12th, 2019, 4:58 pm

MJ555 wrote:
January 12th, 2019, 2:18 pm
Hier war in der Tat kein NTP-Server eingetragen. Habe diesen nachgetragen, aber es funktioniert trotzdem nicht.
Die IP's für die Geräte sidn jedoch fest ohne DCHP vergeben.
Das wirds sein, denn ich denke, man muss die NTP-Einstellungen dann selbst hinterlegen. NUR, ich denke dass dies nicht immer funktioniert, wenn es sich bspw. um Windows-Clients handelt. Ich bin mir nicht Mal sicher, ob selbst bei Verwendung eines DHCP-Servers, die Windows-Clients die NTP Einstellungen automatisch verarbeiten. Ich verteile bspw. die NTP-Settings per Group Policies (GPO) an die Active Directory Clients (Windows 10 Pro).

Wie sich das Ganze aber bei Android oder Apple-Geräte verhält, v.a. dann wenn diese feste IP-Adressen erhalten, kann ich nicht sagen. Ich habe in ein paar Geräten, meistens irgendwelche Linux-Boxen, wie TV, Receiver, Access-Points, Switche, dann manuell die IP-Adresse meines IPFire als NTP-Server eingetragen.

Explizit blockiert habe ich keine NTP-Server (Port 123) in der Firewall per Regel, allerdings ist bei mir auch FORWARDING auf BLOCKED eingestellt, so dass ich davon ausgehen, dass andere Zeitserver nicht erreicht werden.

Gut, ich denke man könnte natürlich eine Regel erstellen, für das blaue Netzwerk als Quelle und als Ziel das rote Netzwerk und den Port 123/UDP um den Verkehr durchzulassen. Habs selbst noch nicht getestet, aber ich denke, wenn man dabei noch das Log in dieser Regel einschaltet, dass man dann womöglich sehr schnell sieht, ob ein Gerät (aus Blau) versucht einen NTP-Server im WWW oder den IPFire selbst zu erreichen.

Wie gesagt, ich kann nicht garantieren dass das was ich zu den FW-Regeln erzählt habe auch funktioniert. Vielleicht kann hier noch ein andere User mehr dazu beitragen?

Grüße,
Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 981
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 12th, 2019, 8:15 pm

Ahmt,
="Hellfire"... man muss die NTP-Einstellungen dann selbst hinterlegen. NUR, ich denke dass dies nicht immer funktioniert...
Yep. Das tut es auch meinen Erfahrungen nach nicht. Es sei denn, man macht es wie Du: per GPO, o.ä. Da die Client-Anzahl in unserem Heimnetz überschaubar ist (~20), habe ich die NTP-Server dort jeweils - soweit möglich - per Hand eingetragen. Bei den Smartphones geht das aber nicht und damit kommen wir zu Android:
Hellfire wrote:Wie sich das Ganze aber bei Android oder Apple-Geräte verhält, v.a. dann wenn diese feste IP-Adressen erhalten...
Die waren allerdings problematisch: genau die (Smartphones) haben die von mir eingetragenen NTP-Einträge bei den Tests heute penetrant ignoriert. Dort geht entweder "automatisch" oder "Uhrzeit manuell eintragen". Eigene NTP-Server sind - je nach Gerät - nicht vorgesehen. Es mag sein, dass man sowas "reinrooten' kann, das haben wir uns gespart.

Momentane Lösung:
1. Host-Gruppen für GREEN, BLUE, Phones, u.ä. angelegt.
2. Dienstgruppen, u.a. mit "NTP 123 (UDP) erstellt.
3. Firewall Richtlinien: alle auf "REJECT" (ist Ansichtssache, mir ist REJECT lieber).
3. FW-Regel-Zuweisungen in der Form Quelle = BLUE-PCs => Ziel = ROT als Vorlage dienen die o.a. [Dienstgruppen], ACCEPT.
4. Läuft bei mir, eben nochmal verifiziert. Per Log, so wie oben angesprochen.

Das ist zwar nicht die von mir bevorzugte Lösung, wo ALLE NTP-Anfragen über den IPFire laufen würden, ist aber mit vertretbarem Aufwand realisierbar.

Die testweise zusätzlich eingesetzten DHCP-Optionen für 'ntp-servers [IP_ADRESSE_GREEN/BLUE]' hatten keine Auswirkungen. Ich habe allerdings jeweils den von Dir vorgeschlagenen 'Primary NTP server-Eintrag ergänzt. Gute Idee, danke - hatte ich bisher übersehen/ignoriert.
Hellfire wrote:Vielleicht kann hier noch ein andere User mehr dazu beitragen?
Siehe oben... :D

Viele Grüße,
Matthias

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 12th, 2019, 8:43 pm

Hi,

ich bin an anderer Stelle folgendermaßen vorgegangen, weiß nicht ob es 100%ig richtig war, aber ich beschreibs Mal: Ich blockiere sämtliche DNS Anfragen per FW-Regel ins Internet (wg. DNS Spoofing). DNS Server ist zum einen IPFire und wegen des Active Directory, ein zweiter DNS auf einem Synology NAS.

Problem war oder ist, dass v.a. die Android Clients bzw. die Apps dort gerne Mal auch die DNS-Einstellungen, die sie per DHCP bekommen, ignorieren. Meistens wird dann versucht einen der Google DNS-Server, bspw. 8.8.8.8 zu erreichen, was mir aber nicht gefällt.

Wie gesagt, DNS (Port 53) ist per FW-Regel nach draußen blockiert. Nur, was tun mit den Geräten, die weiterhin solche Anfragen senden und auch müssen?
Ich habe mir gedacht, dass ich alle Anfragen an Port 53 aus dem grünen Netz an den DNS des IPFire umleite mit folgender FW-Regel in Datei: /etc/sysconfig/firewall.local:

Code: Select all

#!/bin/sh
# Used for private firewall rules

# See how we were called.
case "$1" in
  start)
        ## add your 'start' rules here
	iptables -t nat -A CUSTOMPREROUTING ! -o green0 -p udp --destination-port 53 -j REDIRECT --to-ports 53
	iptables -t nat -A CUSTOMPREROUTING ! -o green0 -p tcp --destination-port 53 -j REDIRECT --to-ports 53		;;
  stop)
        ## add your 'stop' rules here
	iptables -t nat -D CUSTOMPREROUTING ! -o green0 -p udp --destination-port 53 -j REDIRECT --to-ports 53
	iptables -t nat -D CUSTOMPREROUTING ! -o green0 -p tcp --destination-port 53 -j REDIRECT --to-ports 53
	;;
  reload)
        $0 stop
        $0 start
        ## add your 'reload' rules here
        ;;
  *)
        echo "Usage: $0 {start|stop|reload}"
        ;;
esac
Getestet habe ich dies, indem ich manuell in den Netzwerkeinstellungen eines Windows PCs die Google DNS IP-Adresse 8.8.8.8 hinterlegt und vor dieser zusätzlichen FW-Regel die DNS-Auflösung am PC getestet habe. Ergebnis: DSN Auflösung im Browser usw. nicht mehr möglich, was ja gewollt ist.

Nachdem ich dann die oben genannten Regeln hinzugefügte und die Firewall (nicht IPFire im Ganzen) auch neu gestartet hatte, hat ein erneuter Test der DSN-Auflösung wieder korrekt funktioniert. Ich hoffe, dass meine Überlegungen so auch korrekt sind und ich nicht durch die neuen FW-Regeln oben, doch noch ein Loch (für DNS) aufgemacht habe.

Warum schreibe ich das Ganze? Weil vielleicht ähnliches für die NTP-Server Anfragen möglich ist? Ich weiß es nicht, aber denkbar wäre es falls dies mit dem DNS so funktioniert, oder?

Ach ja, und es gibt noch ein paar so lästige Kandidaten: einige wenige Programme/Apps senden sogar direkt die beiden Google-DNS mittels deren Hostnamen, aus diesem Grund habe ich noch zusätzlich die folgenden Eintellungen in HOSTS hinzugefügt, um entsprechende Anfragen vom DNS des IPFire beantworten zu lassen:
Google Hosts.png
Google Hosts.png (11.24 KiB) Viewed 686 times
Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 981
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 12th, 2019, 10:25 pm

Hi,
Hellfire wrote:Ich blockiere sämtliche DNS Anfragen per FW-Regel ins Internet (wg. DNS Spoofing)
Mache ich hier aus demselben Grund genauso, allerdings benutze ich andere Regeln in der '/etc/sysconfig/firewall.local'. Das Grundprinzip habe ich mir aus einem IPFire-Blog Posting abgeguckt:

Code: Select all

/sbin/iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p udp --dport 53 -j DNAT --to 192.168.100.254:53
/sbin/iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p tcp --dport 53 -j DNAT --to 192.168.100.254:53
Ich habe dieses Regelwerk so interpretiert, das alle DNS-Anfragen aller Netze, die nicht von ORANGE ausgehen (hier also automatisch GREEN und BLUE), automatisch an den DNS-Server vom IPFire umgeleitet werden. Egal, welchen DNS-Server meine Clients versuchen anzusprechen, anworten tut immer mein DNS-Server - und die DNS-Abfragen funktionieren. Eben nochmal mit einem blauen Client getestet: funktioniert. Egal, was ich dem manuell als DNS-Server eintrage, er wird über die IPFire-DNS-Server geleitet.

Das funktioniert sogar mit unsinnigen Einträgen, die DNS-AUflösung beim Client hat auch in diesem Fall geklappt:

Image

Deswegen verstehe ich jetzt Deine Regeln leider nicht so ganz, vor allem die Negierung vor "-o green0". Was nicht GREEN, Port 53 ist, wird zu Port 53 umgeleitet!?

Zu einer NTP-Umleitung habe ich mir auch Gedanken gemacht. Ich meine, das müsste ähnlich zu realisieren sein. Werde ich ausprobieren...

Viele Grüße,
Matthias

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 13th, 2019, 12:12 pm

FischerM wrote:
January 12th, 2019, 10:25 pm
Das Grundprinzip habe ich mir aus einem IPFire-Blog Posting abgeguckt:

Code: Select all

/sbin/iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p udp --dport 53 -j DNAT --to 192.168.100.254:53
/sbin/iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p tcp --dport 53 -j DNAT --to 192.168.100.254:53
Ich habe dieses Regelwerk so interpretiert, das alle DNS-Anfragen aller Netze, die nicht von ORANGE ausgehen (hier also automatisch GREEN und BLUE), automatisch an den DNS-Server vom IPFire umgeleitet werden.
Hm - in dem verlinkten Blog-Artikel lese ich jetzt aber auch nicht explizit raus, dass der Parameter -o eine Negierung ist. Für mich ist das nur ein Beispiel, dass die organe Schnittstelle betrifft und dort DNS-Anfragen die dort eintreffen(?) oder gesendet(?) werden. Zu den beiden Fragezeichen, siehe die nächsten paar Zeilen.
FischerM wrote:
January 12th, 2019, 10:25 pm
Deswegen verstehe ich jetzt Deine Regeln leider nicht so ganz, vor allem die Negierung vor "-o green0". Was nicht GREEN, Port 53 ist, wird zu Port 53 umgeleitet!?
Ich habe mich aufgrund deines Hinweises nochmals auf die Suche nach einer Doku für iptables gemacht. Hier https://wiki.ubuntuusers.de/iptables2/# ... ilterregel werden die möglichen Parameter beschrieben und dabei folgendes ausgesagt:
-p (Protokoll) -> Das Paket wird nur geprüft, wenn es gemäß "IP-Protokoll" ist (z.B. TCP, UDP, ICMP).
und
-o (Netzwerkschnittstelle) -> Das Paket wird nur geprüft, wenn es über die definierte Netzwerkschnittstelle versendet wird.
So jetzt ist die Frage, ob meine Regel bewirkt ob das Paket durch dir grüne Schnittstelle VERSENDET oder wir hier beim ebenfalls möglichen Parameter
-i (Netzwerkschnittstelle) -> Das Paket wird nur geprüft, wenn es über die definierte Netzwerkschnittstelle eingegangen ist.
EMPFANGEN wird.

In jedem Fall aber würde ich rauslesen, dass es kein Ausschluß-Parameter ist, sonder immer explizit, wie in meinem Fall, die grüne Schnittstelle meint. Was meinst du?

Michael
Image

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 13th, 2019, 12:21 pm

Ahh - Halt, jetzt weiß ich was du meinst. Das Problem bei mir ist das Rufezeichen, das habe ich übersehen. Denn laut dieser Anleitung hier:
https://www.pro-linux.de/artikel/2/761/ ... stieg.html
ist dies eine Negation:
! Ein vorangestelltes "!" bedeutet Negation, d.h. der nachfolgende Parameter darf nicht mit den Daten eines Paketes übereinstimmen. Ohne "!" wird stets auf Übereinstimmung getestet.
Kurzum, ich glaube du hast Recht! Alles was bei mir nicht über die grüne Schnittstelle an DSN-Anfragen reinkommt wird an den IPFire weitergleitet. Somit müsste ich jetzt tatsächlich auch orange0 statt green0 verwenden!

Danke für den Hinweis! - Man muss sich wohl erst Mal darüber unterhalten, dann kommt man gemeinsam auf Probleme, die man selbst nicht sieht ;)

Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 981
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 13th, 2019, 12:55 pm

Hellfire wrote:Ahh - Halt, jetzt weiß ich was du meinst. Das Problem bei mir ist das [Aus]Rufezeichen..
Genau.

Dessen Funktion ist in den 'iptables'-Dokus idR gut versteckt. In diesem Fall vereinfacht es das Regelwerk - man braucht nur zwei Zeilen.
Hellfire wrote:Danke für den Hinweis!
Kein Problem - gern geschehen!

Der nächste Schritt - da denke ich grad über die Sinnhaftigkeit nach - wäre die Einbindung in die Firewall-Optionen mittels ON/OFF-Schalter für sowas wie "Erzwinge internen DNS-Proxyserver" (oder so). ;)

Könnte dann ev. per 'sed' in die '/etc/sysconfig/firewall.local' reingepatcht werden...

Schönes WE!
Matthias

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 13th, 2019, 1:24 pm

FischerM wrote:
January 13th, 2019, 12:55 pm
Der nächste Schritt - da denke ich grad über die Sinnhaftigkeit nach - wäre die Einbindung in die Firewall-Optionen mittels ON/OFF-Schalter für sowas wie "Erzwinge internen DNS-Proxyserver" (oder so). ;)
Da wäre eine "allgemeine" Syntax denkbar, falls es zur Umsetzung kommen sollte, damit auch das Problem des OP auf diese Weise gelöst werden kann. Quasi irgendeine Pseudo-Anweisung (in jeder Zeile) in der firewall.local mit dessen Hilfe dann Ein-/Ausschalter in den Firewall-Optionen dynamisch eingeblendet werden.

Also so etwas wie Gruppen mit Angabe einer Bezeichnung für die Einblendung in den FW-Optionen in Form von

Code: Select all

[[Group:GRP(x)|<Bezeichnung>]]
Group ist hier der Suchbegriff für den Parser, GRP(x) eine bliebige vom Benutzer zu vergebende Gruppierung, die sowohl bei den Start- als auch bei den Stopp-Regeln zu finden sein muss,damit man einen Ein-/Ausschalter in den FW-Optionen implementieren kann, sofern dies bei den Stopp-Regeln überhaupt benötigt wird(?) und nach dem Pipe-Zeichen | eine beliebige Bezichnung für die Ausgabe eines sinnvollen Textes in den FW-Optionen. Das Ganze noch eingerahmt von doppelten Klammern [[...]] damit der Parser die entsprechenden Gruppen auch ausfindig machen kann.

Beispiel:

Code: Select all

start)
        ## add your 'start' rules here
	iptables -t nat -A CUSTOMPREROUTING ! -o orang0-p udp --destination-port 53 -j REDIRECT --to-ports 53 [[Group:GRP1|DNS Redirection UDP]]
	iptables -t nat -A CUSTOMPREROUTING ! -o orang0-p tcp --destination-port 53 -j REDIRECT --to-ports 53 [[Group:GRP2|DNS Redirection TCP]]		;;
  stop)
        ## add your 'stop' rules here
	iptables -t nat -D CUSTOMPREROUTING ! -o orang0-p udp --destination-port 53 -j REDIRECT --to-ports 53 [[Group:GRP1]]
	iptables -t nat -D CUSTOMPREROUTING ! -o orang0-p tcp --destination-port 53 -j REDIRECT --to-ports 53 [[Group:GRP2]]
FischerM wrote:
January 13th, 2019, 12:55 pm
Schönes WE!
Matthias
Wünsch ich dir auch!

Michael
Image

User avatar
FischerM
Community Developer
Community Developer
Posts: 981
Joined: November 2nd, 2011, 12:28 pm

Re: Zugriff auf NTP-Server von Blau

Post by FischerM » January 13th, 2019, 2:32 pm

Hi,

Ok, Damit hast Du mich ~etwas hinter Dir gelassen - muss ich erstmal drüber nachdenken. So weit sind meine Programmierfähigkeiten leider nicht...

Aber - um nochmal auf den OP zurückzukommen - zwischenzeitlich sind wir etwas abgedriftet:
MJ555 wrote:Wie muss ich die Regel exakt einrichten, damit ein Zugriff möglich ist?
Wenn alle Firewall-Optionen standardmäßig auf DROP stehen, wird NICHTS durchgelassen. Alle gewünschten Ports müssen explizit freigegeben werden.

D.h., um einen NTP-Server kontaktieren zu können, brauchst Du eine Firewall-Regel, die einem Host oder einer Hostgruppe den Zugriff auf den Ziel-Port 123 erlaubt.:

Beispiel:

Image

Zur besseren Verdeutlichung:

Die grüne Blockmarkierung am Anfang der Zeile signalisiert: hier wird gleich etwas ERLAUBT - Einstellung ist "ACCEPT".

TCP,UDP: beteiligte Protokolle (die in der "Dienstgruppe" enthalten sind, s.u.)

GREEN-PCs: Name der Host-Gruppe. Die enthaltenen Hosts müssen vorher unter FIREWALL / Hosts eingetragen und anschließend unter FIREWALL / Netzwerk-/Hostgruppen zusammengefasst worden sein.

ROT: Ziel ("Standard-Netzwerk")

FTP Mail News NTP: Bezeichnung der Dienstgruppe, darin enthalten sind die freizugebenden Dienste (Ports). Die Vorgehensweise ist wie oben, d.h., diese Dienste müssen vorher unter FIREWALL / Dienst, bzw. Dienstgruppen eingetragen und anschließend zusammengefasst werden. Die jeweilige Gruppe kann bei der Regelerstellung dann unter Protokoll / Vorlage / Dienstgruppe angewählt werden.

GREEN => ...: Liste der enthaltenen Ports (Anmerkung zur eigentlichen FW-Regel).

HTH,
Matthias

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 14th, 2019, 7:06 pm

So,

ich hätte jetzt das Folgende im Programm für die Datei /etc/sysconfig/firewall.local im Abschnitt start)

Code: Select all

##NTP Weiterleitung - Start
	 iptables -t nat -A CUSTOMPREROUTING ! -o orange0 -p udp --destination-port 123 -j REDIRECT --to-ports 123
und im Abschnitt stop)

Code: Select all

##NTP Weiterleitung - Stop
	iptables -t nat -D CUSTOMPREROUTING ! -o orange0 -p udp --destination-port 123 -j REDIRECT --to-ports 123
Bin mir nur nicht sicher wie dies jetzt zu testen wäre... Mal googlen...

Edit: Das https://www.ugg.li/einfaches-ntp-tool-f ... r-pruefen/ hilft jetzt auch nur beidngt weiter, zumindest wenn ich feststellen, dass eine entsprechende Firewall-Regel, die nichts anderes tut als sämtlichen Traffic aus Grün an Rot:123 zu protokollieren, hier keinerlei Einträge ins Protokoll schreibt.
Kann ich davon ausgehen, dass hier bereits im Vorfeld die Custom-Regel greift und die FW-Regeln im WebIF nicht mehr zum Zuge kommen?

Edit2: ja, scheint so, dann nach dem erneuten Entfernen meiner Custom-Regel und Restart der Firewall, wird bei entsprechenden Befehl in einer DSO-Box, jetzt ein Eintrag ins Log für Port 123 mit Source meines PCs geschrieben

Code: Select all

w32tm /stripchart /computer:us.pool.ntp.org /dataonly /samples:5
Michael
Image

MJ555
Posts: 17
Joined: October 30th, 2018, 11:59 am

Re: Zugriff auf NTP-Server von Blau

Post by MJ555 » January 15th, 2019, 10:18 am

@ Matthias

Super, dass hat nun funktioniert! Ich komme so auf die externen NTP-Server UDP 123. Noch schöner wäre es. wenn der IPFire-interne NTP-Server angeprochen wird. ;)

Hier bekomme ich jedoch immer noch noch ein 'DROP_Wirelessinput'. Nach meiner Logik müsste da eine Regel mit Ziel Firewall auf Blau (Protokoll UDP 123) funktionieren, macht es aber leider nicht. Im Log steht 'DROP_Wirelessinput' blue0 UDP 192.168.100.x 123 192.1268.1.254 123, wobei 192.1268.1.254 der IPFire ist. Habe ich hier einen Gedankenfehler?

Etwas OT:
Wie kann man an dem Protokoll erkennen, welche Regel hier nicht erfüllt wurde? Da ich ja nur erlauben-Refgeln eingetragen habe, müsste dann 'DROP_Wirelessinput' die Default-Regel sein!???

Hellfire
Posts: 612
Joined: November 8th, 2015, 8:54 am

Re: Zugriff auf NTP-Server von Blau

Post by Hellfire » January 15th, 2019, 11:18 am

MJ555 wrote:
January 15th, 2019, 10:18 am
Super, dass hat nun funktioniert! Ich komme so auf die externen NTP-Server UDP 123. Noch schöner wäre es. wenn der IPFire-interne NTP-Server angeprochen wird. ;)
...was ja evtl. mit meiner Custom-Firewall-Regel zu funktionieren scheint. Bin zwar noch immer auf der Suche, wie man das Debuggen könnte, also wie man Zuverlässigkeit prüfen könnte, aber da jetzt bei mir keine Firewall-Logs mehr zum Port 123 aufschlagen, gehe ich davon aus, dass die "Umleitung" wie gewünscht funktioniert.

Michael
Image

Post Reply