Jak skonfigurować UFW, aby umożliwić działanie NTTP?

11

Mam włączone UFW na jednym z serwerów produkcyjnych o konfiguracji: Domyślnie: zaprzeczyć (przychodzące), zaprzeczyć (wychodzące) . Do synchronizacji NTP zainstalowałem ntpi jest ona obecnie uruchomiona.

Czy ktoś może doradzić, jaką zasadę należy dodać do UFW w celu synchronizacji NTP? Przeczytałem gdzieś, co udp port 123musi być otwarte dla NTTP , ale kiedy uruchamiam ntpq -p, otrzymuję następujące dane wyjściowe:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

co oznacza, że ​​nie muszę dodawać żadnej reguły ufw, a NTTP już działa?

użytkownik2436428
źródło
Dlaczego odmawiasz wychodzenia?
AB
Tylko dla dodatkowego bezpieczeństwa. Właściwie mam inny serwer, który zawierał niektóre trojany i kontrolowaliśmy go, na razie odmawiając wychodzenia.
user2436428,
2
Odmawiaj wychodzenia nie stanowi dodatkowego zabezpieczenia. Wyczyść zainfekowany system. To dodatkowe bezpieczeństwo.
AB
Mówiłem o dwóch różnych serwerach! Dodatkowe bezpieczeństwo miało na celu zapewnienie niezakłóconego działania serwera.
user2436428,

Odpowiedzi:

14

Z prostym

sudo ufw allow ntp 

Możesz korzystać ze wszystkich usług wymienionych w /etc/services

sudo ufw allow <service name>
AB
źródło
1
Dzięki! Ale jak wspomniałem w moim poście, nie pozwalając NTTP , wciąż otrzymuję właściwą odpowiedź ntpq -p, jaki może być powód?
user2436428,
Zezwolenie ntp na ruch przychodzący nie jest w moim przypadku wystarczające. Jak wspomniałem w pytaniu, domyślny ruch wychodzący jest zablokowany, więc zezwoliłem UDP 123 na ruch przychodzący i wychodzący na działanie ntp.
user2436428,
Przeczytaj swój komentarz „a my to kontrolowaliśmy, na razie odmawiając wychodzenia”.
AB
Mówiłem o dwóch różnych serwerach. Proszę spojrzeć ponownie na moje pytanie i komentarze. Dzięki
2436428,
1

Przy następującym zestawie reguł synchronizacja NTP działa dla mnie idealnie:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Zezwoliłem portowi UDP 123 na ruch przychodzący i wychodzący do pracy NTP. Dodatkowo musiałem również otworzyć port TCP 53 (DNS) dla ruchu wychodzącego, ponieważ /etc/ntp.confzawiera nazwy domenowe serwerów NTP. .

użytkownik2436428
źródło