Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 23 replies
  • Subscribers 2 subscribers
  • Views 110273 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

NTP not working??

martindw
I'm having a problem getting NTP packets to pass through my firewall.  My NTP client (MRTech ClockAlign) has three options for protocol to use. . .SNMP, which works fine, and standard NTP via UDP or TCP, neither of which does.  The downer on this is that SNMP NTP requests have the least info of all types, I'm told.

I have defined NTP on my definitions as dest. port 37 UDP/TCP, send.port 1024:65535.  I have then created a rule in the packet filters that says "Any" NTP from "Any" allow.

Nevertheless, when I try to sync my clock using MRTech on TCP or UDP the packet filter shows the following:

11:51:30 192.168.0.33 2008  ->  192.5.41.40 37 TCP SYN  
11:51:30 192.168.0.33 2009  ->  192.5.41.40 37 TCP SYN  
11:51:34 192.168.0.33 2009  ->  192.5.41.40 37 TCP SYN  
11:51:34 192.168.0.33 2010  ->  192.5.41.40 37 TCP SYN  

and with UDP:

11:54:02 192.168.0.33 2074  ->  192.5.41.40 37 UDP  
11:54:06 192.168.0.33 2076  ->  192.5.41.40 37 UDP  
11:54:10 192.168.0.33 2079  ->  192.5.41.40 37 UDP  
11:54:14 192.168.0.33 2081  ->  192.5.41.40 37 UDP  
11:54:18 192.168.0.33 2083  ->  192.5.41.40 37 UDP 

Switch it to SNMP and it's fat & happy.

Any clues?

Thanks

Dan  


This thread was automatically locked due to age.
Parents
  • 0
    Hey There,
    You are going to want to create a DNAT rule 

    ANY / External_Interface_/ NTP 

    SRC Translation: None
    DST Translation: Internal Host Address (192.168.x.x which must be predefined)

    Then you put a packet filter rule in place that says something like:

    Internal host  ----> NTP ----> ANY   

    (and then the return rule)

    ANY ---> NTP ----> Internal host

    I think that will get it done.

    MJT  
Reply
  • 0
    Hey There,
    You are going to want to create a DNAT rule 

    ANY / External_Interface_/ NTP 

    SRC Translation: None
    DST Translation: Internal Host Address (192.168.x.x which must be predefined)

    Then you put a packet filter rule in place that says something like:

    Internal host  ----> NTP ----> ANY   

    (and then the return rule)

    ANY ---> NTP ----> Internal host

    I think that will get it done.

    MJT  
Children
  • 0 in reply to Michael_T
    Thanks for the suggestion, Michael, but I tried exactly the settings you recommended and saw no difference on either the TCP or UDP attempts (still dropped), but it *did* prevent the client's SNMP connection which worked before!  (this didn't show in the packet filter log so I'm guessing it's the DNAT that "broke" it).  So we still have no answer. . .