[fli4l] Paketfilter REDIRE?==?utf-8?Q?CT?

[Peter Schiefer]

Hallo gandalf, Stefan

Am Mon, 22 Dec 2014 20:38:42 +0100 schrieb Stefan Sauer:

> aufgrund der aktuellen NTP-Sicherheitslücke schaute ich mir meine
> Konfiguration auf dem Router an. Ich stellte fest, dass vor allem der in
> Windows verwendete Server time.windows.com nicht zuverlässig
> antwortete. Synchronisierte ich mit dem fli-Router (LAN seitig) ging es
> 100%ig. Nun verwende ich jedoch mehere Betriebsystem mit Multiboot und
> auch mehrere virtuelle Maschinen. Da ich keine Lust hatte, alle per Hand
> anzupassen, suchte ich nach einer anderen Lösung. Nach ein bischen
> Lesen der Dokumentation fand ich heraus, dass der chronyd an allen IPv4
> Interfaces horcht (0.0.0.0:123). In der Paketfilterkonfiguration stand
> ein REDIRECT leitet Pakete an die Adresse 127.0.0.1 und den angegebenen
> Port. Ich erstelle also die folgenden Firewall-Regeln:
> 
> PF_INPUT_8='tmpl:ntp ACCEPT LOG:Zeitabgleich'

> und 
> 
> PF_PREROUTING_2='if:IP_NET_3_DEV:any tmpl:ntp IP_NET_3 any REDIRECT:123
> LOG:lokale_Umleitung'

zu deiner "Umleitung" - des kann passieren, das der fragende NTP-Client die
Antworten er Umleitung nicht akzeptiert, da die src-Adresse nich der
Adresse entspricht, an die die anfrage gesendet wurde (diese Problem kenn
ich aus der 4ma)

Ich würde als Alternative ein DNS_REDIRECT für time.windows.com definieren.

Gruß Peter