Як налаштувати UFW, щоб дозволити роботі ntp?

11

Я ввімкнув UFW на одному з виробничих серверів з конфігурацією: за замовчуванням: відхилити (вхідний), заборонити (вихідний) . Для синхронізації NTP я встановив, ntpі він зараз працює.

Хтось може порадити, яке правило слід додати до UFW для синхронізації NTP? Я десь читав, що udp port 123потрібно відкрити для ntp , але коли я запускаю ntpq -p, отримую наступний вихід:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

що вказує на те, що мені не потрібно додавати жодного правила ufw, і ntp вже працює?

firewall  ufw  ntp 
user2436428
джерело
Чому заперечувати вихід?
AB
Просто для додаткової безпеки. Насправді у мене є ще один сервер, який складався з деяких троянів (ів), і ми контролювали його, відкидаючи вихідний на даний момент.
user2436428
2
Заборонити вихідний - це не додаткова безпека. Очистіть заражену систему. Це додаткова безпека.
AB
Я говорив про два різних сервери! Додаткова безпека була призначена для некомпрометованого сервера.
user2436428

Відповіді:

14

З простим

sudo ufw allow ntp 

Ви можете користуватися всіма переліченими в /etc/services

sudo ufw allow <service name>
AB
джерело
1
Дякую! Але, як я вже говорив у своєму дописі, не дозволяючи ntp , я все ще отримую належну відповідь ntpq -p, що може бути причиною?
user2436428
Дозволити ntp для вхідного трафіку в моєму випадку недостатньо. Як я вже згадував у запитанні, вихідний трафік за замовчуванням блокується, тому я дозволив UDP 123 і для вхідного, і для вихідного трафіку працювати ntp.
user2436428
Прочитайте власний коментар, "і ми контролювали його, тим самим відкидаючи вихідні".
AB
Я говорив про два різні сервери. Перегляньте ще раз моє запитання та коментарі. Дякую
користувач2436428
1

З наступними наборами правил, синхронізація NTP працює для мене ідеально:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Я дозволив UDP- порт 123 як для вхідного, так і для вихідного трафіку на роботу NTP. Крім того, мені також потрібно було відкрити TCP- порт 53 (DNS) для вихідного трафіку, оскільки /etc/ntp.confмістить доменні імена серверів NTP. .

user2436428
джерело
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.