ntpが機能するようにUFWを構成する方法


11

構成された運用サーバーの1つでUFWを有効にしました:デフォルト:拒否(受信)、拒否(送信)。NTP同期については、インストールntpして現在実行しています。

誰かがNTP同期のためにUFWに追加する必要があるルールをアドバイスできますか?ntpudp port 123開く必要がある場所を読みましたが、を実行すると、次の出力が表示されます。ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

これは、ufwルールを追加する必要がなく、ntpがすでに機能していることを示していますか?


なぜ発信を拒否するのですか?
AB

セキュリティを強化するためです。実際、私はいくつかのトロイの木馬で構成された別のサーバーを使用しており、当分の間、送信を拒否することによってそれを制御しました。
user2436428

2
発信拒否は、追加のセキュリティではありません。感染したシステムをクリーンアップします。これは追加のセキュリティです。
AB

私は2つの異なるサーバーについて話していました!追加のセキュリティは、妥協のないサーバーのためのものでした。
user2436428 2015

回答:


14

シンプルで

sudo ufw allow ntp 

に記載されているすべてのサービスを使用できます /etc/services

sudo ufw allow <service name>

1
ありがとう!しかし、私がntpを許可せずに私の投稿で述べたように、私はまだ適切な応答を得ていntpq -pます、理由は何ですか?
user2436428

私の場合、着信トラフィックにntpを許可するだけでは不十分です。質問で述べたように、デフォルトの発信トラフィックはブロックされるため、着信トラフィックと発信トラフィックの両方でUDP 123が機能することを許可しました。
user2436428

あなた自身のコメントを読んでください。「そして、当面の間、発信を拒否することでそれを制御しました。」
AB

2つの異なるサーバーについて話していました。私の質問とコメントをもう一度見てください。ありがとう
user2436428

1

次のルールセットを使用すると、NTP同期が完全に機能します。

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

NTPへの着信トラフィックと発信トラフィックの両方にUDPポート123を許可しました。さらに、NTPサーバーのドメイン名が含まれているため、発信トラフィック用にTCPポート53(DNS)を開く必要もありました/etc/ntp.conf。。

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.