시간 초과, 아무것도받지 못했습니다


9

나는 모든 것을 시도하고 많이 봤다! 그러나 내 서버에서 NTP를 작동시킬 수 없습니다. 이 게시물은 마지막 희망입니다! 이 구성 ( ) 으로 데비안 서버에 ntp 를 설치했습니다 /etc/ntp.conf.

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1 noserve nomodify
restrict ::1

내가 시도 할 때 :

ntpq -pn
127.0.0.1: timed out, nothing received
***Request timed out

내가 시도 할 때 :

ntpdate -q
9 Mar 18:08:01 ntpdate[27896]: no servers can be used, exiting

하지만 함께:

ntpdate -d 0.it.pool.ntp.org

들어오는 패킷을 받고 시간 오프셋을 설정합니다. 이로 인해 잘못된 ntp.conf 구성이 발생합니다.

왜 이런 일이 일어나고 있는지에 대한 단서.


어떤 파일을 보여주고 있습니까? 그렇 /etc/ntp.conf습니까? NTP 서버에 대해 확신하십니까? 데비안을 사용해보십시오. (작동중인) ntp.conf 는 여기에 있습니다 .
terdon

예, ntp.conf입니다. 데비안 서버를 사용해 보도록하겠습니다. 감사합니다
테스트

아니, 항상 같은 오류.
테스트

이러한 변경을 한 후 ntpd를 다시 시작했다고 가정하면 맞습니까? service ntpd restart.
slm

1
또한, 당신의 제한 라인은 이상하다 ... support.ntp.org/bin/view/Support/AccessRestrictions
derobert

답변:


3

시도중인 NTP 서버가 응답하지 않는 것 같으면 방화벽이 발신 요청 또는 수신 응답을 차단하고있을 가능성이 있습니다.

NTP는 UDP 포트 123을 사용합니다. 해당 포트에서 traceroute를 실행하여 발신 요청이 차단되고 있는지 확인할 수 있습니다. traceroute 구현에 따라 다음과 같을 수 있습니다 traceroute -p 123 0.it.pool.ntp.org(Debian에는 traceroute, check traceroute --help또는 man traceroute시스템에 여러 가지 구현이 포함됨 ). 들어오는 요청이 차단되었지만 나가는 요청이 통과되는 경우 네트워크 외부의 시스템에 액세스하지 않고 요청이 차단 된 위치를 진단 할 수 없다고 생각합니다 (이러한 시스템에 액세스 할 수있는 경우 traceroute -p 123 your.ip.address). 주 당신이있는 경우에하는 것이 개인 IP 주소를 NTP를 사용할 수있는 네트워크 관리자합니다 (에서 특히, NTP 지원의 협력을 필요로 NAT 장비를).

컴퓨터에 방화벽을 설정 한 경우 NTP를 통과시키는 지 확인하십시오. 간단한 방법은 UDP 포트 123의 모든 트래픽을 허용하는 것입니다.

iptables -A INPUT -p udp --sport 123 --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

( 특정 IP 주소 또는 IP 주소 세트로 제한하기 위해 -d/ -s지시문 을 추가 할 수 있습니다 . 그렇게하면 풀의 NTP 서버가 IP 주소를 사용하는 경우이 규칙을 업데이트해야합니다. .)

기기와 인터넷 사이의 NTP 트래픽이 차단 된 경우 네트워크 관리자에게 문의하십시오. NTP 서버로 사용할 수있는 중계기가있을 수 있습니다.


호스팅 공급자 / ISP가 외부 NTP 트래픽을 차단하고있을 수 있습니다. 이것은 DDOS를 방지하기위한 강력한 방법입니다. 어떤 내부 ntp 서버에 연결할 수 있는지 ISP에 문의하십시오.
dfc

1
@dfc 필자의 경험에 따르면 회사 방화벽은 모든 UDP를 차단하거나 NAT의 자연스러운 결과로 NTP를 차단하지만 ISP는 (NAT를 제외하고) 그렇지 않습니다. 그러나 실제로 ISP가 들어오는 NTP를 차단 하면 네트워크에서 NTP 서버를 제공 해야 합니다.
Gilles 'SO- 악의를 멈춰라'

나는 이미 iptables에 이러한 규칙을 추가했지만 여전히 같은 오류입니다. ntpdate -d 0.it.pool.ntp.org와 함께 작동합니다. 그래서 나는 그것이 ntp.conf라는 것을 믿습니다.
테스트

@Gilles는 "내 경험"이 ntp를 사용하는 최근의 DDoS 공격을 고려하고 있습니까? 일년 전 나는 당신의 의견에 동의합니다. 그러나 최근의 공격이 일어나면 ntp 필터링이 생각보다 훨씬 일반적입니다.
dfc

@BojanVidanovic ntpdate가 아닌 ntpdate와 작동한다는 것은 말이되지 않습니다. ntpdate와 함께 작동하면 응답을 반환 한 IP 주소를 기록하고 ntp.conf에 입력하십시오. pool.ntp.org 주소에 대한 DNS 응답은 dns 데몬의 일부 의사 무작위 화 외에도 풀 모니터 작업이 현재 상태 인 서버 수에 따라 다릅니다.
dfc

3

내가 말할 수있는 한 "왜 ntpq -pn예상대로 작동 하지 않습니까?"

이 줄을 바꾸십시오 :

restrict 127.0.0.1 noserve nomodify

원래 상태로 돌아 가기 :

restrict 127.0.0.1

지금 ntpq -pn작동합니다.

참고 ::1로, IPv6 버전은127.0.0.1

업데이트 된 구성 :

driftfile /var/lib/ntp/ntp.drift

statdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable

server 0.it.pool.ntp.org iburst
server 1.it.pool.ntp.org iburst
server 2.it.pool.ntp.org iburst
server 3.it.pool.ntp.org iburst

restrict -4 default nomodify nopeer noquery notrap
restrict -6 default nomodify nopeer noquery notrap

# Restrict eth0 ip
restrict 192.168.1.1
restrict 127.0.0.1
restrict ::1

127.0.0.1 : 시간 초과, 아무것도받지 못함 *** 요청 시간 초과
테스트

/etc/ntp.conf를 위에 표시된 것으로 업데이트하고 ntp를 다시 시작했는데 시간 초과 메시지가 표시됩니까? 출력은 netstat -laun무엇입니까?
dfc

고마워요! 나는 또한 제한의 끝에 "restrict localhost"를 추가했다
Vagner do Carmo

1

문제는 구성 파일의 다음 두 줄에서 두 서버를 선택하는 것으로 보입니다.

server ntp1.inrim.it iburst
server ntp2.inrim.it iburst

둘 중 하나를 쿼리하려고하면 오류가 발생합니다.

$ sudo ntpq -p ntp1.inrim.it
ntp1.inrim.it: timed out, nothing received
***Request timed out

$ sudo ntpq -p ntp2.inrim.it
ntp2.inrim.it: timed out, nothing received
***Request timed out

초보자를 위해 다른 서버를 선택하려고합니다.

그 서버?

Google에서 이름을 검색 할 때 Come configurare il vostro NTP 라는 제목의이 페이지를 방문했습니다 . 거기에 언급되지 않은 다른 서버가 있습니다.

$ sudo ntpq -p host2.miaditta.it 
host2.miaditta.it: timed out, nothing received
***Request timed out

이 서버가 문제인 것 같습니다.

암호화?

위에서 언급 한 URL을 더 자세히 살펴보면 암호화 사용에 대해 논의한 경우 해당 NTP 서버에 액세스하려면이 기능을 활성화해야합니다.

디버깅 팁

iburst이 명령을 사용하여 두 서버 모두에 성공적으로 연결할 수있었습니다 .

$ ntpdate -d <server>
$ ntpdate -d ntp1.inrim.it
 9 Mar 21:01:37 ntpdate[20739]: ntpdate 4.2.6p5@1.2349-o Tue Apr  2 17:47:01 UTC 2013 (1)
Looking for host ntp1.inrim.it and service ntp
host found : ntp1.inrim.it
transmit(193.204.114.232)
receive(193.204.114.232)
...
server 193.204.114.232, port 123
stratum 1, precision -22, leap 00, trust 000
refid [CTD], delay 0.19319, dispersion 0.00084
transmitted 4, in filter 4
reference time:    d6c78d79.f0206119  Sun, Mar  9 2014 21:01:45.937
originate timestamp: d6c78d7e.55ab5b4b  Sun, Mar  9 2014 21:01:50.334
transmit timestamp:  d6c78d77.7e9b8296  Sun, Mar  9 2014 21:01:43.494
filter delay:  0.19460  0.19710  0.19453  0.19319 
         0.00000  0.00000  0.00000  0.00000 
filter offset: 6.755368 6.757349 6.755239 6.756265
         0.000000 0.000000 0.000000 0.000000
delay 0.19319, dispersion 0.00084
offset 6.756265

 9 Mar 21:01:43 ntpdate[20739]: step time server 193.204.114.232 offset 6.756265 sec

따라서 문제가 실제로 ntp.conf파일에 문제가있는 것 같습니다 . 이 경우에 확인하고 계속 디버깅을 계속할 수 있습니다.


예, 나는 그 서버를 사용하지 않지만 debian.pool.ntp.org를 추가했는데 여전히 시간이 초과되었습니다. 또는 it.pool.ntp.org에서 작동하면 동일한 오류가 발생합니다. 이 시점에서 무언가 NTP를 차단하고 있다고 생각합니다.
테스트

내가 시도하면 : ntpdate 0.debian.pool.ntp.org, 작동합니다.
테스트

예, ntpdate -d ntp1.inrim.it와 동일한 결과가 표시됩니다. 그렇다면 아마도 ntp.conf 일 것입니다.
테스트

1
@BojanVidanovic-예, 문제는 아마도 당신의 것 ntp.conf입니다. 그래서 이것은 좋은 진전입니다. 서버 라인을 제외하고 대부분의 라인을 꺼내서 더 디버깅합니다.
slm

1
로 전환 ntpd하면 -d옵션이 추가되고 -D levelINFO, TRACE, DEBUG 등 이 추가 됩니다.
slm

0

필자의 경우 시스템에서 루프백 어댑터가 비활성화되었습니다. 활성화 한 후 문제가 해결되었습니다. / etc / network / interfaces 파일을 참조하십시오.


0

내가 본 것에서 NTP 서버를 구성했지만 POOL을 가리키고 있습니다.

server 0.pool.ntp.org

시험:

pool 0.pool.ntp.org

대신 또는 풀이 아닌 전용 서버와 함께 "서버"를 사용하십시오.

당사 사이트를 사용함과 동시에 당사의 쿠키 정책개인정보 보호정책을 읽고 이해하였음을 인정하는 것으로 간주합니다.
Licensed under cc by-sa 3.0 with attribution required.