<div class="gmail_quote">OK, I've solved this now, with some degree of trial and error, combined with reading the logs. I've included the changed rules below. If anyone notices a glaring error in what I've done, please let me know!</div>
<div class="gmail_quote"><br></div><div class="gmail_quote">2008/11/1 Sam Kuper <span dir="ltr"><<a href="mailto:sam.kuper@uclmail.net">sam.kuper@uclmail.net</a>></span><br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;">
<div>[...] I am having some trouble with ntp and iptables. [...]</div><div>Here is my iptables ruleset (which is based on the one Michael Rash provides in his book Linux Firewalls):</div>
<div><br></div><div><div>### ACCEPT rules</div><div>$IPTABLES -A INPUT -i eth0 -p tcp --dport 22 --syn -m state --state NEW -j ACCEPT </div><div>$IPTABLES -A INPUT -i eth0 -p udp --sport 123 -m state --state NEW,ESTABLISHED -j ACCEPT # SPK for ntpd</div>

<div>$IPTABLES -A INPUT -p icmp --icmp-type echo-request -j ACCEPT</div><div></div></div></blockquote><div><br></div><div>Second line should have been:</div><div>$IPTABLES -A INPUT -p udp --dport 123 -m state --state NEW -j ACCEPT<br>
</div><div> <br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex;"><div><div>### anti-spoofing rules<br></div>
<div>$IPTABLES -A OUTPUT -s ! $INT_NET -j LOG --log-prefix "SPOOFED PKT "</div><div>$IPTABLES -A OUTPUT -s ! $INT_NET -j DROP</div></div></blockquote><div><br></div><div>Inserted new rule in front of the two above:</div>
<div><div>$IPTABLES -A OUTPUT -s <a href="http://127.0.0.1">127.0.0.1</a> -j ACCEPT</div><div><br></div></div><div>Hope this helps someone,</div><div><br></div><div>Sam </div></div><br>