Thread Info
  • State Not Answered
  • Replies 6 replies
  • Subscribers 0 subscribers
  • Views 1064 views
  • Users 0 members are here
Options
Suggested

[8.163][QUESTION][ANSWERED] NTP functionality

wingman
Hi All

If I enable the NTP functionality on my ASG (pic 1) and don't have any pf rules the NTP traffic fails. 

2011:04:17-11:52:59 ***** ulogd[5221]: id="2001" severity="info" sys="SecureNet" sub="packetfilter" name="Packet dropped" action="drop" fwrule="60002" initf="eth1" outitf="ppp0" srcmac="0:1f:c6:e2:c5:1d" dstmac="0:b0:c2:2:e4:4f" srcip="192.168.2.1" dstip="192.43.244.18" proto="17" length="76" tos="0x00" prec="0x00" ttl="127" srcport="123" dstport="123"


The ntp server was : time.nist.gov (which is already set at -pic2 )

On an old port Jack (https://community.sophos.com/products/unified-threat-management/astaroorg/f/51/t/20929) mentioned that the best way to do this is by allowing the traffic via pf rules. 

Is there a known issue with the NTP functionality? I can resolve the issue by disabling NTp functionality (pic1) and creating the relevant pf rules

Thanks
  • 0 
    Astaro Beta Report
    --------------------------------
    Version: 8.163
    Type: QUESTION
    State: ANSWERED
    Reporter: wingman
    Contributor: 
    MantisID: 
    Target version: 
    Fixed in version: 
    --------------------------------

  • 0
    Can you please post the output of '[FONT="Courier New"]cc get ntp[/FONT]'?

    Regarding Jacks post: i think you are misreading him. He talks about setting up a "failsafe" configuration for systems behind the ASG, using the ASG as one of two or more NTP servers. In that case you have to add a pf rule, but:


    • From a security point of view, you should configure the clients on you network to only use the ASG as a single source of time. 
    • From a sysadmin point of view, if you need a reliable second source of time, there are hardware clocks available as network appliances (eg. Meinberg).


    Hope this helps,

    Kai
  • 0
    yeap it does. 

    The output is : 

    ***:/root # cc get ntp
    ntp = {
              "allowed_networks" => [
                                      "REF_DefaultInternalNetwork",
                                      "REF_DefaultCiscoRWPool",
                                      "REF_DefaultRWPool",
                                      "REF_DefaultL2TPPool"
                                    ],
              "servers" => [
                             "REF_aUDxVGYbtt",
                             "REF_NtpPool",
                             "REF_XtzhKCzDvj"
                           ],
              "status" => 1
            }


    I can confirm I have 3 NTp servers one of which is the one blocked
  • 0
    Is that Normal Kai? I am still having the same issue and I have disabled the NTP functionality (only using pf to make it work)
  • 0
    "Normal" depends on what you want to achieve. If you want to use an external NTP server instead of using the ASG, then the answer is "Yes". Yes, you have to configure packetfilter rules to allow this.
    The NTP functionality of the ASG makes the ASG act as an NTP server. In this case you configure your clients to use the ASG as the NTP time source and then you don't need the pf rules.

    And yes: that's the way we designed it to work. [;)]

    Cheers,
    Kai
Cookie Information Banner