Forum général.général NTPdate derrière un proxy

Posté par  (site web personnel) .
Étiquettes : aucune
0
3
fév.
2005
Hello,

bon je pense que c'est impossible mais comment techniquement faire passer le protocole ntp (ou utiliser ntpdate au minimum) de derrière un proxy ?

Techniquement, je dispose d'un proxy HTTP et j'ai les droits pour passer derrière en ce qui concerne le port 80. La preuve, je fais mes apt-get avec ça. Par contre, pour ntpdate, pas d'option précisant un proxy.
Comment qu'on peut faire ???
  • # admin

    Posté par  . Évalué à 2.

    normalement , l'admin qui gere le proxy doit avoir prevu le coup. Il doit y avoir une machine locale en contact avec des serveurs ntp exterieurs qui sert de reference (c'est a dire de serveur ntpd) au machines internes dont la tienne. c'est ce serveur que tu dois viser.

    ( si l'admin ne l'a pas fait , soit il est con soit il est suicidaire car il y a pas mal de choses où il faut synchroniser les machines sous peine d'emmerdes à n'en plus finir. )
    • [^] # Re: admin

      Posté par  . Évalué à 5.

      ( si l'admin ne l'a pas fait , soit il est con soit il est suicidaire car il y a pas mal de choses où il faut synchroniser les machines sous peine d'emmerdes à n'en plus finir. )

      Je trouve cette affirmation un peu exagérée, surtout dans la qualification de l'admin.
      Si ce n'est pas fait, c'est peut-être parce que jusqu'à aujourd'hui, il n'y avait pas de tel besoin ... (je conais des tas d'endroits ou ce n'est pas fait).
      • [^] # Re: admin

        Posté par  . Évalué à 0.

        Tout dépends effectivement des besoins....
        Pour les tit réseaux basiques, après tout 2-3 minutes de desynchro dans les log c'est un peu deroutant au départ mais pas insurmontable....

        Et ce n'est pas en venant le traiter de gros c... que tu vas reussir à lui demander de faire un tit trou de plus dans le proxy pour laisser passer le port 123 si cher à ton client ntp....

        Ce qui est peut etre la solution la plus simple...
      • [^] # Re: admin

        Posté par  . Évalué à 2.

        > je conais des tas d'endroits ou ce n'est pas fait

        ben, moi aussi, et ce sont des tas d'endroit qui finiront par avoir des problemes. Et qui finiront par decouvrir à quoi sert la synchronisation des dates.

        c'est exactement comme la celebre maxime : " il y a les admin qui ont deja fait une connerie en etant root et ceux qui vont en faire une"...
        • [^] # Re: admin

          Posté par  . Évalué à 2.

          ben, moi aussi, et ce sont des tas d'endroit qui finiront par avoir des problemes.

          Dans la mesure ou ce n'est pas fait depuis des années Ca m'étonnerait qu'un jour quelqu'un se lève et décide comme ca d'installer un service de synchronisation de machines. Il le fera effectivement le jour ou il y aura un réel besoin Ca signifie que si la boite est un tant soit peu sérieuse, la synchronisation des machines fera partie du cahier des charges de la nouvelle appli. Je ne vois pas en quoi c'est une connerie que de ne pas installer un service qui ne sert pas.
      • [^] # Re: admin

        Posté par  (site web personnel) . Évalué à 1.

        Je prends un cas exemplaire:
        deux amis mettent en place des servers mails dans des pays /tres/ eloignes. on synchronise les DNS, les VPN et tout, puis on test d envoyer un mail ... passe pas. Tout de suite le server dit que c est un probleme d horloge ... apres 2j d enquete, les deux PC sont bien localement a l heure locale, MAIS, l un utilise une RTC sur UTC, et l autre une RTC sur heure locale, avec la locale pardefault de la distribution -> malgres que les deux systems soient a l heure locale, lors du calcul de l UTC pour construire les entetes, il y avait un decalage de plus de 8h entre les machines ...

        si ils avaient installe NTP, le client ntp se serait plaint tout de suite ...
        • [^] # Re: admin

          Posté par  . Évalué à 2.

          Si les admins avaient réfléchi un peu a leurs besoins, ils se seraient rendus compte qu'ils ont besoin d'etre synchronisés ...
    • [^] # Re: admin

      Posté par  (site web personnel) . Évalué à 1.

      normalement , l'admin qui gere le proxy doit avoir prevu le coup

      le cas contraire n as pas ete aborde:
      apt-get marche parce qu il est concu pour pouvoir utiliser un proxy: apt-get a beau etre une apli CLi, c est un pragramme qui ne communique qu en utilisant le protocol HTTP ... donc le proxy est content; pour le proxy, apt est un navigateur, et le server debian un server web.

      Le ntp n est pas du http, donc ne peut pas passer, enfin pas directement. Si tu as un Linux dedans, et un dehars, alors c est possible de contourner: http-tunnel.

      tu cre un server http-tunnel sur ton adsl, et tu lance un client sur ta box derriere le proxy. Le client est concu pour causer http avec le proxy, car tout sera encapsule dans du http. Proxy content = proxy sympa.
      Par contre, le contenu du http, tu met ce que tu veux ... ca peut etre du html, une photo, ou .... du ssh :)

      quand tu cre ton client et ton server, tu dois specifier des parametres de redirection: IP:port. Tout flux reseau rentrant dans un bout est envoye tel quel de l autre cote, mais a travers le proxy.

      Le plus simple est que tu lance le server tunnel sur le port 80 de tan adsl ( pour etre sur que le proxy soit tres content, c est pas oblige, mais commence par ce qui est sur). tu redirige le server sur le port 22 local: le ssh. Tu lances le client qui se connecte au server, et ecoutes le 22 local ( local au client); tu lances un client ssh vers ta machine locale. Le tunnel ( client) prend la requette, et l envoi a travers le proxy au server, qui re transmet a sshd. Quand ca marche ( parce que ca DOIT marcher), tu as deux choix:
      - tuer ssh et modifier les parametres du tunnel pour pointer vers un server nntp ( pas terrible)
      - relancer le client ssh et activer un port forwarding ( beaucoup plus sur pour deboguer), et tu forward devinne quoi ... le 119 ( lis /etc/services ).

      Enfin entraines toi bien a lancer les deux tunnels ( http et ssh) chez toi pendant quelques heures avant de tenter la mise en prod ...
      • [^] # Re: admin

        Posté par  . Évalué à 2.

        Mmm, le monsieur a dit ntp (network time protocol), pas nntp (useNet News Transfer Protocol).
        C'est le port 123 et c'est de l'udp, donc la redirection avec ssh est compromise.
        Il faudra plutôt utiliser le dynamic port forwarding (-D) pour transformer ssh en serveur socks,
        faire un tunnel avec une machine externe dont le sshd écoute sur le port 80,
        que cette machine soit correctement configurée (ie, DNS, resolv.conf...),
        puis socksifier ntpdate (client dante et tsock).
        C'est bien compliqué pour pas grand chose.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.