Пакеты со 123-го порта не уходят с хоста.
Пытаюсь синхронизироваться с локальным сервером по ntp:
Без -u:
ntpdate 192.168.0.1
5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
С ним:
ntpdate -u 192.168.0.1
5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec

iptables-save пустой на обоих хостах, полностью убрал правила файрволла на время тестирования.
При этом, собираю с обоих хостов во время попытки tcpdump - на клиенте оба раза есть исходящие пакеты (и в первом случае нет входящих, т.е. ответа от сервера), а при опции -u на сервере появляются входящие пакеты и он отвечает.
Насколько мне известно, tcpdump ловит еще до netfilter'a. Т.е. пакеты с src port 123 тихо умирают на клиенте(хотя и видны в tcpdump'е!) и до сервера не доходят, а при другом src port - доходят.
Есть предположения, что это и как это фиксить?

• ntpdate/ntpd не работает без -u,Сергей, 23:31 , 06-Июл-14
  • ntpdate/ntpd не работает без -u,anonymous, 09:32 , 07-Июл-14
    • ntpdate/ntpd не работает без -u,Hammer, 12:03 , 07-Июл-14
      • ntpdate/ntpd не работает без -u,anonymous, 13:22 , 07-Июл-14
• ntpdate/ntpd не работает без -u,anonymous, 22:53 , 09-Июл-14
  • ntpdate/ntpd не работает без -u,pavlinux, 03:11 , 10-Июл-14
    • ntpdate/ntpd не работает без -u,Andrey Mitrofanov, 10:09 , 10-Июл-14
      • ntpdate/ntpd не работает без -u,anonymous, 17:28 , 10-Июл-14
      • ntpdate/ntpd не работает без -u,anonymous, 17:32 , 10-Июл-14
        • ntpdate/ntpd не работает без -u,pavlinux, 01:24 , 11-Июл-14

> Пакеты со 123-го порта не уходят с хоста.
> Пытаюсь синхронизироваться с локальным сервером по ntp:
> Без -u:
> ntpdate 192.168.0.1
>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
> С ним:
> ntpdate -u 192.168.0.1
>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec

  Файером где-то запрещен 123 порт

>> Пакеты со 123-го порта не уходят с хоста.
>> Пытаюсь синхронизироваться с локальным сервером по ntp:
>> Без -u:
>> ntpdate 192.168.0.1
>>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
>> С ним:
>> ntpdate -u 192.168.0.1
>>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec
>   Файером где-то запрещен 123 порт

connected сеть. Файров по пути нет, только коммутатор.

>>> Пакеты со 123-го порта не уходят с хоста.
>>> Пытаюсь синхронизироваться с локальным сервером по ntp:
>>> Без -u:
>>> ntpdate 192.168.0.1
>>>  5 Jul 20:07:10 ntpdate[5299]: no server suitable for synchronization found
>>> С ним:
>>> ntpdate -u 192.168.0.1
>>>  5 Jul 20:07:44 ntpdate[5300]: adjust time server 192.168.0.1 offset -0.008859 sec
>>   Файером где-то запрещен 123 порт
> connected сеть. Файров по пути нет, только коммутатор.

man ntpdate
-u      Direct ntpdate to use an unprivileged port for outgoing packets.
             This is most useful when behind a firewall that blocks incoming
             traffic to privileged ports, and you want to synchronise with
             hosts beyond the firewall.  Note that the -d option always uses
             unprivileged ports.

Что висит на 123? Предполагаю что ntpd.

>[оверквотинг удален]
>  This is most useful when behind a firewall that blocks
> incoming
>            
>  traffic to privileged ports, and you want to synchronise with
>            
>  hosts beyond the firewall.  Note that the -d option
> always uses
>            
>  unprivileged ports.
> Что висит на 123? Предполагаю что ntpd.

Прекращайте предполагать и попробуйте запустить ntpdate с висящим на 123-ем порту ntpd.
Будет ошибка вроде такой:
the NTP socket is in use, exiting
Все простые вещи я уже двадцать раз перепроверил. И man тоже много раз прочитал.

Итак, как обычно, отвечаю сам себе. Решение: на промежуточном коммутаторе была включена защита от ddos. Как показала практика, защита крайне тупая и блокирует пакеты с src port 123, при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля!

> при этом пропускает их, если добавить доп. заголовок в IP пакет (например, ppp). Вуаля!

Чо вуаля, как на другом конце поймут твою задумку, что ты всего лишь изменил заголовок. :D

Да, я тоже не понял, что такое:

>>доп. заголовок в IP пакет (например, ppp).
> Чо вуаля, как на другом конце поймут твою задумку,

> Да, я тоже не понял, что такое:
>>>доп. заголовок в IP пакет (например, ppp).
>> Чо вуаля, как на другом конце поймут твою

Защита работает по битовому смещению в заголовке, т.е. не учитывается длина заголовка и возможная инкапсуляция(ip-ip, gre, ppp и другие). В общем и целом, она бесполезна и т.к. это мой сегмент сети, я ее просто выключил.

> Да, я тоже не понял, что такое:
>>>доп. заголовок в IP пакет (например, ppp).
>> Чо вуаля, как на другом конце поймут твою задумку,

Поясняя подробнее - в моем примере ntp не работало бы при классической маршрутизации, но работало бы при построенном тоннеле до других роутеров.

>> Да, я тоже не понял, что такое:
>>>>доп. заголовок в IP пакет (например, ppp).
>>> Чо вуаля, как на другом конце поймут твою задумку,
> Поясняя подробнее - в моем примере ntp не работало бы при классической
> маршрутизации, но работало бы при построенном тоннеле до других роутеров.

Вон оно чо, Михалыч ©