CentOS 5 上的 NTP 客户端在 Cisco ASA 防火墙后发生故障

tag-icon tag-icon linux centos firewall cisco-asa
CentOS 5 上的 NTP 客户端在 Cisco ASA 防火墙后发生故障

我有一台 CentOS 服务器,我想在其上设置一个 NTP 客户端以获取服务器的准确时间。该服务器位于本地子网中,NAT 位于 ASA 5505 防火墙后面,该防火墙充当 NAT 路由器,并直接连接到互联网 DSL 调制解调器,而不是其他路由器。

问题是 CentOS 服务器上的 NTP 客户端永远无法与我选择的任何 NTP 服务器同步。但是,将 ASA 5505 设置为 NTP 客户端完全没问题。在 CentOS 服务器上使用相同的 IP 地址仍然无法同步,即使等待了几个小时。

ntp.conf 是:

限制 127.0.0.1
限制 -6 ::1

服务器 127.127.1.0 #本地时钟
fudge 127.127.1.0 层 10

漂移文件 /var/lib/ntp/drift

密钥 /etc/ntp/keys

服务器 89.109.251.21
服务器 176.9.47.150
服务器 63.15.238.180

使用 ntpq 告诉我这些服务器都无法访问(但其中至少两个服务器可以随时从 ASA 访问,所以它们是没问题的):

同侪
     远程重新识别 st t 轮询到达延迟偏移抖动

*LOCAL(0).LOCL.10 l 25 64 377 0.000 0.000 0.001
 89.109.251.21 .INIT. 16 u - 1024 0 0.000 0.000 0.000
 odin.tuxli.ch .INIT. 16 u - 1024 0 0.000 0.000 0.000
 63.15.238.180 .INIT. 16 u - 1024 0 0.000 0.000 0.000

目前,refid 上显示 .INIT.,大约需要一个小时才能变为其他内容,但“到达”计数器仍然保持在 0。

“as”命令给出以下内容:

ind assID status  conf reach auth condition  last_event cnt

  1 40263 9614 是 是 无 sys.peer 可访问 1
  2 40264 8000 是 是 无 拒绝
  3 40265 8000 是 是 无 拒绝
  4 40266 8000 是 是 无 拒绝

即使 24 小时后也不会改变,始终是“拒绝”。

使用“rv”进行查询总是会得到响应“peer_unfit”和“peer_stratum”,这是很自然的,因为层始终保持在 16。

听起来像是网络问题,但我没有发现问题。

我在 ASA 中没有制定任何限制或允许 NTP 使用端口 123 的规则。但理论上我不需要它 - 对于 UDP,防火墙应该知道回复数据包是相关的/已建立的,因此它应该让它通过,还是我错了?

或者问题是否与某些身份验证配置有关 - 配置中的 ntp 密钥行与它有关系吗?

编辑:防火墙 ASA 5505 配置(缩短):

ASA 版本 8.2(5)
名称
接口以太网0/0
 交换机端口访问 VLAN 2
接口Ethernet0/1
接口Ethernet0/2
接口Ethernet0/3
接口Ethernet0/4
接口Ethernet0/5
 交换机端口访问 VLAN 3
接口Ethernet0/6
 交换机端口访问 VLAN 3
接口以太网0/7
 交换机端口访问 VLAN 3
接口 Vlan1
 nameif 内部
 安全级别 100
 IP地址 10.111.11.251 255.255.255.0
接口 Vlan2
 nameif 外部
 安全级别 0
 IP地址 192.168.1.2 255.255.255.252
接口 Vlan3
 没有转发接口 Vlan1
 名称if dmz
 安全级别 50
 IP地址 192.168.240.254 255.255.255.0
ftp 模式被动
时钟时区 CEST 1
时钟 夏令时 CEST 重复 上一个星期日 三月 2:00 上一个星期日 十月 2:00
对象组网络 XenServer
 网络对象主机 192.168.240.240
 网络对象主机 192.168.240.241
 网络对象主机 192.168.240.242
访问列表邮件服务器扩展允许 tcp any any eq www
访问列表 MAILSERVER 扩展允许 tcp any any eq https
访问列表 MAILSERVER 扩展允许 tcp any any eq smtp
访问列表 MAILSERVER 扩展允许 tcp any any eq ftp
访问列表 MAILSERVER 扩展允许 tcp any any eq ftp-data
访问列表 MAILSERVER 扩展允许 icmp any any echo-r​​eply
访问列表 MAILSERVER 扩展拒绝 ip 任何任何日志
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.231 eq 10000
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.231 eq https
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.253 eq 10000
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.253 eq https
访问列表 NEPLAN 扩展允许 tcp 任何对象组 XenServer eq https
访问列表 NEPLAN 扩展允许 tcp 任何对象组 XenServer eq ssh
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.231 eq www
访问列表 NEPLAN 扩展允许 tcp 任何主机 192.168.240.238 eq www
访问列表 INTERNET 扩展允许 ip 192.168.240.0 255.255.255.128 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.136 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.230 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.220 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.221 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.222 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.210 任意
访问列表 INTERNET 扩展允许 ip 主机 192.168.240.211 任意
访问列表 INTERNET 扩展允许 icmp any any echo-r​​eply
访问列表 INTERNET 扩展允许 ip 对象组 XenServer 任何
访问列表 INTERNET 扩展拒绝 ip any any 日志
mtu 1500 以内
mtu 超出 1500
mtu dmz 1500
icmp 不可达速率限制 1 突发大小 1
arp 超时 14400
全局(外部)91 接口
全局 (dmz) 92 接口
nat (内部) 92 10.111.11.0 255.255.255.0
nat (dmz) 91 192.168.240.0 255.255.255.0
静态(dmz,外部)tcp 接口 https 192.168.240.136 https 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 smtp 192.168.240.136 smtp 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 ftp 192.168.240.136 ftp 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 ftp-data 192.168.240.136 ftp-data 网络掩码 255.255.255.255
静态(dmz,外部)tcp 接口 www 192.168.240.136 www 网络掩码 255.255.255.255
接口内部的访问组 NEPLAN
接口外部的访问组 MAILSERVER
接口 dmz 中的访问组 INTERNET
外部路由 0.0.0.0 0.0.0.0 192.168.1.1 1

ntp 服务器 89.109.251.21
ntp 服务器 176.9.47.150
ntp 服务器 63.15.238.180

网络虚拟专用网

类映射检查默认
 匹配默认检查流量
策略映射类型检查 DNS preset_dns_map
 参数
  消息长度最大客户端自动
  消息长度最大为 512
策略图 global_policy
 检查类_默认
  检查 DNS preset_dns_map
  检查 ftp
  检查 h323 h225
  检查 h323 ras
  检查 ip 选项
  检查 netbios
  检查 rsh
  检查 rtsp
  检查瘦
  检查 esmtp
  检查 sqlnet
  检查 sunrpc
  检查 tftp
  检查 SIP
  检查 xdmcp
服务策略 global_policy 全局
提示主机名上下文
无需回电报告 匿名
回电
 简介 CiscoTAC-1
  无活动
  目标地址 http https://tools.cisco.com/its/service/oddce/services/DDCEService
  目标地址电子邮件[电子邮件保护]
  目标传输方法 http
  订阅警报组诊断
  订阅警报组环境
  订阅警报组库存定期每月
  订阅警报组配置定期每月
  订阅警报组遥测定期每日
加密校验和:590d5cd7306d6a21eb875098d3b33661
: 结尾
NEP-ASA-SL20-1#

存在 NTP 问题的服务器是 192.168.240.240 和 192.168.240.241(网络对象组 XenServers - 这是一个 XenServer DomU。已尝试使用另一台独立服务器 - 存在相同问题,因此似乎与 Xen 无关)。

答案1

您没有将 ASA 配置为允许传出 NTP 流量,因此它不允许。“相关/已建立”流量是指正在进行的流量,例如来自 NTP 服务器的传入回复,而不是新发起的流量,因此它不适用于此处。

要解决此问题,请为适当的组添加规则以允许传出 NTP 流量。例如:

access-list NEPLAN extended permit udp any any eq 123

答案2

解决方案是为目标端口为 123 的 UDP 数据包添加静态 NAT 条目(并专门打开该入站端口):

静态(dmz,外部)udp 接口 ntp 192.168.240.240 ntp 网络掩码 255.255.255.255

是的,我知道,这应该没有必要。打开入站端口 123 并不能解决这个问题 - 它确实需要静态 NAT 条目。这也表明我的 CentOS 服务器发送的 UDP 数据包的目标端口和源端口都设置为 123 以用于 NTP。

有人能解释一下为什么防火墙拒绝将此流量归类为相关流量吗?这是因为源端口是“特权”端口,即 < 1023 吗?我找不到任何关于此内容的文档或参考资料。

相关内容