揮発性のメモ2

知識をメモ書きしておく

iptablesでNTPを許可

iptablesでNTPを許可

iptables -I INPUT -p udp --dport 123 -j ACCEPT

RedHat系とかだとデフォルトのポリシーがDROPになってなくてルールチェインの最後になんかREJECTを設定する仕様になっていて、-Aで指定しても意味が無い(最後尾に追加されるから)っぽいので -I で先頭とかに追加するようにすると確実。


iptables は即時反映されるものだと思っていたが、RHEL4だとどうも反映まで1分くらいタイムラグがあるときがある。原因は不明。

実際にはこんな感じでやった

# iptables -I RH-Firewall-1-INPUT 17 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT  ★上から17番目に追加する
# iptables-save
# Generated by iptables-save v1.2.11 on Thu May 28 16:41:31 2009
*filter
:INPUT ACCEPT [15:898]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [2003:237402]
:RH-Firewall-1-INPUT - [0:0]
-A INPUT -j RH-Firewall-1-INPUT
-A FORWARD -j RH-Firewall-1-INPUT
-A RH-Firewall-1-INPUT -i lo -j ACCEPT
-A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT
-A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT
-A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT
-A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT
-A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT
-A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT  ★これ
-A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited
COMMIT
# Completed on Thu May 28 16:41:31 2009