Чому для NTP потрібен двосторонній брандмауер для доступу до порту 123 UDP?

З яких правил iptables дозволяти ntp? :

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Також з веб-сайту NTP :

... ntpd вимагає повного двонаправленого доступу до привілейованого порту UDP 123. ...

Моє запитання: чому? Для когось, хто не знайомий з NTP, це здається потенційним отвором у безпеці, особливо коли я прошу мого клієнта відкрити цей порт у брандмауері, щоб мої сервери могли синхронізувати свій час. Хтось має гідне обґрунтування, яке я можу дати своєму клієнту, щоб переконати їх у тому, що мені потрібен такий доступ у брандмауері? Допомога цінується! :)

Вам потрібно дозволити порти NTP для вхідного трафіку лише в тому випадку, якщо ви працюєте як сервер, що дозволяє клієнтам синхронізуватися з вами.

В іншому випадку, існування стану NTP автоматично визначає, чи блокується вхідний пакет NTP блокується чи дозволений існуючим станом брандмауера, який ми ініціювали.

iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

iptables -A INPUT -m стан - держава Встановлено, ЗВ'ЯЗАНО -j ACCEPT

Будь ласка, дайте мені знати, чи правильні правила iptables. Я не маю досвіду роботи з iptables. Мій клієнт NTP залишається синхронізованим на моєму маршрутизаторі pfSense з лише вихідним правилом дозволу, оскільки pfSense є брандмауером, що створює стан.

NTP вимагає двонаправленого доступу до порту 123, оскільки NTP RFC визначає наступне щодо вихідного порту клієнта:

Під час роботи в симетричних режимах (1 і 2) це поле повинно містити номер порта NTP PORT (123), призначений IANA.

Оскільки вихідний порт клієнта - 123, коли сервер надсилає відповідь назад, він надсилає його до порту 123. Природно, для того, щоб мати змогу отримати цю відповідь, клієнт повинен дозволити вхідні відповіді на порт 123. Зазвичай відповіді повертаються на деякому ефемерному порту .

Як згадував Бен Кук вище, це потрібно лише при роботі з брандмауером без стану, оскільки стаціонарний брандмауер дозволить відповіді повернутися без явного правила.

Я думаю, що найкращим рішенням є включення порту 123 для введення, тільки для ip-адрес, які, як очікується, передасть вашому серверу сигнал ntp.
Всередині конфігураційного файлу ntp /etc/ntp.conf є адреси декількох серверів ntp, на яких повинен вказувати ваш сервер. Ви можете скористатися командою пошуку для пошуку відповідного ip для кожної адреси.

host -t a 0.debian.pool.ntp.org

Тоді ви можете додати правило до брандмауера сервера:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

... і так далі.
Це може запобігти пошкодженню вашого сервера будь-якої шкідливої ​​особи.
Я думаю, що це не має ніякого використання, що обмежує вихід.

Зв'язок ntp з сервером на сервер - це джерело та порт призначення 123. Найзручніше явно дозволити, щонайменше, для хостів, на яких ви працюєте з службою ntp.

Ви можете розглянути лише відкриття зовнішнього хоста в Інтернеті, щоб отримати час із сторонніх джерел. Внутрішня служба ntp, що синхронізує це, може стати джерелом для всіх пристроїв. Якщо ці хости присвячені цілі, можлива експозиція обмежена: вони приймають лише ntp трафік і не зберігають інших даних.

Крім того, взагалі не використовуйте зовнішню мережу IP. Наприклад, використовуйте джерело радіо, наприклад, GPS для часу.

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/TroubleshootingNTP