Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 4 replies
  • Subscribers 2 subscribers
  • Views 2766 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

Packet-Filter-Rule for round-robin-DNS-Adresses?

thtran
Hello,

I want to allow one of our servers to query the following Hosts using NTP:
 
      
  • 0.de.pool.ntp.org  
  • 1.de.pool.ntp.org  
  • 2.de.pool.ntp.org  
  • de.pool.ntp.org  
[/list] 

Each of these hostnames has 12 IPs and they change every hour (round-robin)
Does it make sense to define a network group of 4 "DNS hostnames", when the IP-adresses change every hour?

(I want to define a packet-filter-rule to allow NTP-traffic to all of these 4 hostnames)


This thread was automatically locked due to age.
Parents
  • 0
    Hi,

    well, it is a little more work for the ASL, because it will reload the IPTables everytime the IP changes, but if your table is not to large, you shouldnt get to much trouble when using DNS instead of fix IP.

    Chris
  • 0 in reply to NimmdirKeks
    Hello,

    well, now I see the following problem: What if Astaro's DNS-Proxy still thinks 0.de.pool.ntp.org is 100.101.102.103, because it has cached that iP some minutes ago, and our NTP-server contacts 0.de.pool.ntp.org, which now has another IP adress? Wouldn't our Astaro block that traffic, because it has outdated DNS-information in it's cache?

    Info: Our Astaro-machine uses two of our internal DNS-Servers as "Forwarding Name Servers" in it's DNS-proxy. And the NTP-Server also uses these internal DNS-Servers (not the Astaro-DNS-Proxy)  ... hmmm, did I just answer my own question? ...
    If I tell our NTP-Server to use the Astaro as DNS-Server, it will contact those IPs, for which the packet filter-rule currently allows NTP-traffic. Is that right?

    Regards, thtran
Reply Children
No Data