» NTP Server на Ubuntu

Поднял сервер NTP на Ubuntu, вроде работает!
пользовался восновном
http://www.amdclub.ru/slayer/?p=462
и частично
http://www.google.com.ua/#hl=uk&q=ntp+server+%D0%BD%D0%B0+ubuntu&meta=&aq=f&aqi=&aql=&oq=&gs_rfai=&fp=c7bb7ec7de1b7b38

Проблема следующая:
Когда пытаюсь обновить время своего нетбука с сервера с Ubuntu, выдает

(http://s48.radikal.ru/i119/1003/e0/dddee00f7ec4.jpg)

Как я понял в конфиге "Страт" стоит 1
restrict ::1
Или понял неправильно???

[more=ntp.conf]
# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server ua.pool.ntp.org
server ntp.ubuntu.com
server time.windows.com
server time.nist.gov

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 172.16.4.0 mask 255.255.255.0 notrust
#restrict 10.0.0.1 mask 255.255.255.0 notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 172.16.4.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient
[/more]

Не пойму что не так?????

Добавлено:
Забыл:
Ubuntu Server 9.10
Windows XP Professional SP3

хп откель заходит? если из локалки, то хорошо бы добавить

restrict 172.16.4.0 mask 255.255.255.0 nomodify notrap

ну и проверить 123 порт udp

AnDySs1

Цитата:

хп откель заходит? если из локалки, то хорошо бы добавить

Цитата:

ну и проверить 123 порт udp

локалка, на этих интерфейсах фаерволл пропускает весь трафик в обе стороны


Цитата:

restrict 172.16.4.0 mask 255.255.255.0 nomodify notrap

прописал, просле етого:

(http://s43.radikal.ru/i100/1003/bb/8c17f31bded9.jpg)

[more=/etc/ntp.conf]# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server ua.pool.ntp.org
server ntp.ubuntu.com
server time.windows.com
server time.nist.gov

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
#restrict 172.16.4.0 mask 255.255.255.0 nomodify notrust
#restrict 10.0.0.1 mask 255.255.255.0 nomodify notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 172.16.4.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient
[/more]

Ну так надо же при таком подходе делать:
restrict ua.pool.ntp.org
restrict ntp.ubuntu.com
restrict time.windows.com
restrict time.nist.gov

P.S. Не могли бы вы выложить сюда или заслать мне в личку результаты команды sudo netstat -nlpt при запущенном демоне?

Цитата:

Ну так надо же при таком подходе делать:
restrict ua.pool.ntp.org
restrict ntp.ubuntu.com
restrict time.windows.com
restrict time.nist.gov

это хде именно, там restrict несколько?????

shadow4@ysrv1:/$ netstat -nlpt
(No info could be read for "-p": geteuid()=1000 but you should be root.)
Active Internet connections (only servers)
Proto Recv-Q Send-Q Local Address Foreign Address State PID/Program name
tcp 0 0 0.0.0.0:3128 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:445 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25022 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:25000 0.0.0.0:* LISTEN -
tcp 0 0 127.0.0.1:3306 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:139 0.0.0.0:* LISTEN -
tcp 0 0 0.0.0.0:80 0.0.0.0:* LISTEN -
tcp6 0 0 :::25022 :::* LISTEN -

И всё-таки не надо было строку "restrict 172.16.4.0 mask 255.255.255.0 nomodify notrust" комментировать.

Цитата:

это хде именно, там restrict несколько?????

Это можете написать в любой части файла /etc/ntp.conf.
После изменений не забывайте рестартовать службу. И начинать проверку синхронизации рекомендую минут через 10, после растарта службы

после

Цитата:

Ну так надо же при таком подходе делать:
restrict ua.pool.ntp.org
restrict ntp.ubuntu.com
restrict time.windows.com
restrict time.nist.gov

Цитата:

И всё-таки не надо было строку "restrict 172.16.4.0 mask 255.255.255.0 nomodify notrust" комментировать.

(http://s57.radikal.ru/i157/1003/91/d79074e14799.jpg)

[more=/etc/ntp.conf]# /etc/ntp.conf, configuration for ntpd; see ntp.conf(5) for help

driftfile /var/lib/ntp/ntp.drift


# Enable this if you want statistics to be logged.
#statsdir /var/log/ntpstats/

statistics loopstats peerstats clockstats
filegen loopstats file loopstats type day enable
filegen peerstats file peerstats type day enable
filegen clockstats file clockstats type day enable


# You do need to talk to an NTP server or two (or three).
server ua.pool.ntp.org
server ntp.ubuntu.com
server time.windows.com
server time.nist.gov

# Access control configuration; see /usr/share/doc/ntp-doc/html/accopt.html for
# details. The web page <http://support.ntp.org/bin/view/Support/AccessRestrictions>
# might also be helpful.
#
# Note that "restrict" applies to both servers and clients, so a configuration
# that might be intended to block requests from certain clients could also end
# up blocking replies from your own upstream servers.

# By default, exchange time with everybody, but don't allow configuration.
restrict -4 default kod notrap nomodify nopeer noquery
restrict -6 default kod notrap nomodify nopeer noquery

# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

# Clients from this (example!) subnet have unlimited access, but only if
# cryptographically authenticated.
restrict 172.16.4.0 mask 255.255.255.0 nomodify notrust
restrict 10.0.0.1 mask 255.255.255.0 nomodify notrust


# If you want to provide time to your local subnet, change the next line.
# (Again, the address is an example only.)
#broadcast 172.16.4.255

# If you want to listen to time broadcasts on your local subnet, de-comment the
# next lines. Please do this only if you trust everybody on the network!
#disable auth
#broadcastclient
restrict ua.pool.ntp.org
restrict ntp.ubuntu.com
restrict time.windows.com
restrict time.nist.gov
[/more]

Значит так.
Попробовал я поднять сервак по этой статье. Брал дефолтный конфиг. Дописывал в нём только имена серверов.
Из разрешительных строк оставлял только:
restrict -4 default kod notrap nomodify nopeer noquery
restrict 127.0.0.1
В результате всё заработало.
Отдельное разрешение для серверов, о котором я сказал ранее в этой конфигурации не нужно.
Посему мне думается, что у вас проблема с сетевым экраном. От вас ждём результаты исполнения команды sudo iptables -L -n -v. А так же советую использовать команду sudo tcpdump -i ethX "port 123" в момент синхронизации, где ethX - интерфейс, смотрящий в локальную сеть.

urodliv
AnDySs1
Спасибо! После долгого гугления и попыток разобрался, работает!

Рабочая конфигурация:

server ua.pool.ntp.org
server ntp.ubuntu.com
server time.windows.com

restrict 127.0.0.1

restrict 172.16.4.0 mask 255.255.255.0 nomodify nopeer notrap
restrict 10.0.0.0 mask 255.255.255.0 nomodify nopeer notrap

server 127.127.1.1
fudge 127.127.1.1 stratum 3

зы: заработало гдето минут после 15 рестарта службы..... время таки играет роль....... интересно почему?????

Добавлено:
И если не сложно, не понял таки кто такой 127.127.1.1 ???????

Цитата:

зы: заработало гдето минут после 15 рестарта службы..... время таки играет роль....... интересно почему?????

Думаю ответ на этот вопрос можно найти где-нибудь в исходниках. Есть подозрение, что это сделано специально для предотвращения получения "кривого" времени. Ибо если сразу разрешать получать обновления времени, то тачки могут получить время ещё до синхронизации самого сервера, и тогда они с таким временем неизвестно сколько проработают (по-умолчанию в винде - неделя)

Цитата:

И если не сложно, не понял таки кто такой 127.127.1.1 ???????

Ну адрес из диапазона loopback. Зачем он нужен при указании 127.0.0.1 мне неизвестно. Должно и без него работать. Попробуйте удалить эти две строки.

Цитата:

И если не сложно, не понял таки кто такой 127.127.1.1 ???????

LCL, the Local Clock

urodliv

Цитата:

Попробуйте удалить эти две строки.

не, тада будет 1-й рисунок в топике (http://s48.radikal.ru/i119/1003/e0/dddee00f7ec4.jpg), проверено методом научного втыка!

Цитата:

проверено методом научного втыка!

Как бы выразить свою мысль, чтобы никого не обидеть?...
Меня терзают смутные сомнения, что такой распространённый продукт от Каноникла может иметь полностью нерабочий конфиг. Тем более что у меня сервер времени запустился вообще без каких-либо манипуляций с конфигурационным файлом. Вот и думайте, гадайте...

Цитата:

заработало гдето минут после 15 рестарта службы..... время таки играет роль....... интересно почему?????

Такой дизайн у протокола
демону нужно время чтобы померить задержки и джитер для всех источников, выбрать наиболее подходящий, засинхронизироваться от него - а тогда уже можно выставлять у себя какой-либо разумный стратум.

urodliv

Цитата:

Как бы выразить свою мысль, чтобы никого не обидеть?...
Меня терзают смутные сомнения, что такой распространённый продукт от Каноникла может иметь полностью нерабочий конфиг. Тем более что у меня сервер времени запустился вообще без каких-либо манипуляций с конфигурационным файлом. Вот и думайте, гадайте...

Ну незнаю, может я какой-то неправильный......
Действуем по части алгоритма: работает - не трогаем!

PQ17
спс за инфо!