iptablesでNTPを許可
iptables -I INPUT -p udp --dport 123 -j ACCEPT
RedHat系とかだとデフォルトのポリシーがDROPになってなくてルールチェインの最後になんかREJECTを設定する仕様になっていて、-Aで指定しても意味が無い(最後尾に追加されるから)っぽいので -I で先頭とかに追加するようにすると確実。
iptables は即時反映されるものだと思っていたが、RHEL4だとどうも反映まで1分くらいタイムラグがあるときがある。原因は不明。
実際にはこんな感じでやった
# iptables -I RH-Firewall-1-INPUT 17 -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT ★上から17番目に追加する # iptables-save # Generated by iptables-save v1.2.11 on Thu May 28 16:41:31 2009 *filter :INPUT ACCEPT [15:898] :FORWARD ACCEPT [0:0] :OUTPUT ACCEPT [2003:237402] :RH-Firewall-1-INPUT - [0:0] -A INPUT -j RH-Firewall-1-INPUT -A FORWARD -j RH-Firewall-1-INPUT -A RH-Firewall-1-INPUT -i lo -j ACCEPT -A RH-Firewall-1-INPUT -p icmp -m icmp --icmp-type any -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-crypt -j ACCEPT -A RH-Firewall-1-INPUT -p ipv6-auth -j ACCEPT -A RH-Firewall-1-INPUT -d 224.0.0.251 -p udp -m udp --dport 5353 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m udp --dport 631 -j ACCEPT -A RH-Firewall-1-INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 80 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 443 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 22 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 23 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 3306 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 137 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 138 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 139 -j ACCEPT -A RH-Firewall-1-INPUT -p tcp -m state --state NEW -m tcp --dport 445 -j ACCEPT -A RH-Firewall-1-INPUT -p udp -m state --state NEW -m udp --dport 123 -j ACCEPT ★これ -A RH-Firewall-1-INPUT -j REJECT --reject-with icmp-host-prohibited COMMIT # Completed on Thu May 28 16:41:31 2009