17

Из каких правил iptables разрешить ntp?:

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Также с сайта NTP:

... ntpd требует полного двунаправленного доступа к привилегированному UDP-порту 123. ...

У меня вопрос, почему? Для тех, кто не знаком с NTP, это выглядит как потенциальная дыра в безопасности, особенно когда я прошу моего клиента открыть этот порт в своем брандмауэре, чтобы мои серверы могли синхронизировать свое время. У кого-нибудь есть достойное оправдание, которое я могу дать своему клиенту, чтобы убедить его, что мне нужен этот доступ в брандмауэре? Помощь приветствуется! :)

3 ответа3

10

Разрешить входящий трафик для портов NTP необходимо только в том случае, если вы действуете как сервер, позволяющий клиентам синхронизироваться с вами.

В противном случае наличие состояния NTP автоматически определит, заблокирован ли входящий пакет NTP или разрешен существующим состоянием брандмауэра, которое мы инициировали.

iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ПРИНЯТЬ

iptables -A INPUT -m состояние - УСТАНОВЛЕНО, СОПУТСТВУЕТ -j ПРИНЯТЬ

Пожалуйста, дайте мне знать, если правила iptables являются правильными. У меня нет опыта работы с iptables. Мой NTP-клиент остается синхронизированным на моем маршрутизаторе pfSense только с правилом исходящего разрешения, потому что pfSense - это межсетевой экран с отслеживанием состояния.

0

Я думаю, что лучшим решением является включение порта 123 для входа, только для IP-адресов, которые, как ожидается, дадут вашему серверу сигнал ntp.
Внутри файла конфигурации ntp, /etc/ntp.conf, есть адреса нескольких серверов ntp, на которые должен указывать ваш сервер. Вы можете использовать команду lookup, чтобы найти соответствующий ip для каждого адреса.

host -t a 0.debian.pool.ntp.org

Затем вы можете добавить правило в брандмауэр сервера:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

...и так далее.
Это может помешать любому злоумышленнику повредить ваш сервер.
Я думаю, что бесполезно ограничивать вывод.

-1

NTP-сервер для связи является исходным и целевым портом 123. Наиболее удобно явно разрешить это хотя бы для хостов, на которых вы запускаете службу ntp.

Вы можете рассмотреть возможность подключения внешнего хоста к Интернету, чтобы получить время из внешних источников. Внутренняя служба ntp, синхронизирующаяся с этим, может быть источником для всех устройств. Если эти хосты предназначены для этой цели, возможное воздействие ограничено: они принимают только трафик ntp и не хранят другие данные.

Альтернативно, вообще не используйте внешнюю IP-сеть. Например, используйте источник радио, например GPS.

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/TrounticationNTP

Всё ещё ищете ответ? Посмотрите другие вопросы с метками .