Почему NTP требует двунаправленного доступа межсетевого экрана к порту UDP 123?

С каковы правила iptables для разрешения ntp?:

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

С НТП сайт:

... ntpd требует полного двунаправленного доступа к привилегированному порту UDP 123. ...

мой вопрос, почему? Кому-то, кто не знаком с NTP, это кажется потенциальной дырой в безопасности, особенно когда я прошу своего клиента открыть этот порт в своем брандмауэре, чтобы мои серверы могли сохранить свои время синхронизировано. У кого-нибудь есть достойное оправдание, которое я могу дать своему клиенту, чтобы убедить их, что мне нужен этот доступ в брандмауэре? Помощь ценится! 🙂

24
задан Community
20.03.2023 8:24 Количество просмотров материала 2559
Распечатать страницу

3 ответа

вам нужно только разрешить порты входящего трафика NTP, если вы выступаете в качестве сервера, позволяя клиентам синхронизировать с вами.

в противном случае, существование состояния NTP будет автоматически определять, является ли входящий пакет NTP заблокирован или разрешен существующим состоянием брандмауэра, который мы инициировали.

в iptables -выход -п УДП-спорт 123 --dport 123 -J может принимать

в iptables -a входной сигнал -м государство --государство установило,связанные с-J Прими

пожалуйста, дайте мне знать, если правила iptables являются правильными. У меня нет опыта работы с iptables. Мой клиент NTP остается синхронизированным на маршрутизаторе pfSense только с исходящим правилом allow, поскольку pfSense является брандмауэром с отслеживанием состояния.

9
отвечен Ben Cook 2023-03-21 16:12

Я думаю, что лучшим решением является включение порта 123 для ввода, только для ip-адресов, которые, как ожидается, дадут вашему серверу сигнал ntp.

Внутри файла конфигурации ntp, /etc / ntp.conf, есть адреса нескольких NTP серверов, на которые должен указывать ваш сервер. Вы можете использовать команду поиска, чтобы найти соответствующий ip-адрес для каждого адреса.



host -t a 0.debian.pool.ntp.org



затем вы можете добавить правило на сервер брандмауэр:



iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT



...и так далее.

Это может помешать злоумышленникам повредить сервер.

Я думаю, что нет смысла ограничивать выход.

0
отвечен Leonardo Gugliotti 2023-03-21 18:29

НТП обмен данными между серверами источника и назначения порт 123. Наиболее удобно явно разрешить это, по крайней мере, хостам, на которых вы выполняете сервис ntp.

вы могли бы рассмотреть только подвергая внешний хост в Интернет, чтобы получить время от внешних источников. Внутренняя синхронизация сервиса ntp к этому может быть источником для всех устройств. Если эти хосты посвящены цели, возможная экспозиция ограничена: они только принимают трафик ntp и делают не хранить другие данные.

кроме того, не используйте внешний IP сети. Используйте источник радиосигнала, например GPS, для времени.

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/TroubleshootingNTP

-1
отвечен John Mahowald 2023-03-21 20:46

Постоянная ссылка на данную страницу: [ Скопировать ссылку | Сгенерировать QR-код ]

Ваш ответ

Опубликуйте как Гость или авторизуйтесь

Имя
Вверх