Что касается услуг в домашних условиях, я сменил провайдера на Zoom / Armstrong. Сразу после этого перестали работать мои демоны NTP. Я покопался и диагностировал проблему:
Вылезают непривилегированные порты. Например, когда я запускаю ntpdate, я перехожу на высокий, непривилегированный порт и получаю ответ на UDP 123. Это нормально. Тем не менее, демон ntpd ожидает, что он выйдет на 123 и тоже получит свой ответ. Это, должно быть, обычная проблема, потому что она напрямую решается в Руководство по устранению неполадок NTP.
Чтобы посмотреть, что произойдет, я написал подробное электронное письмо на общий адрес службы поддержки Armstrong. Они почти сразу ответили полным техническим ответом! У них заблокировано все <1024, за исключением нескольких портов для поддержки исходящей VPN.
Итак, вопрос:
Могу ли я использовать IPtables для существенной перезаписи исходящего UDP 123 до 2123 или чего-то подобного? Если да, должно ли быть соответствующее правило 2123-> 123 для перевода ответа? Это похоже на NAT, но с портами, а не с адресами. Я пробовал, но не могу заставить iptables делать то, что я хочу. Я не уверен, что это моя неопытность или я пробую неправильное решение.
Да, я мог бы запустить ntpdate из cron, но это теряет все возможности настройки NTP.
Попробуйте это правило (непроверенное):
iptables -t nat -A POSTROUTING -p udp --sport 123 -j MASQUERADE --to-ports 1025-65535
Вероятно, вы можете сделать это с помощью таблицы mangle, но, как правило, почему бы не использовать модуль состояния? Я думаю, что это своего рода стандартная конфигурация iptables, в которой действует следующее правило:
ACCEPT all -- anywhere anywhere state RELATED,ESTABLISHED
Таким образом, в брандмауэре будут пробиты дыры для обратного трафика ...
Редактировать:
О, я пропустил, что это ваша блокировка интернет-провайдера, ну, это просто дерьмовый интернет-провайдер, сохраняющий этот ответ на случай, если он поможет кому-то еще, кто найдет этот вопрос с похожей проблемой, но не вашей конкретной.