LINUX.ORG.RU
ФорумAdmin

ipfw заблокировать внешние запросы на ntpd

 , , ,


0

1

есть сервер ntpd по которому синхронизируются машины из локалки. сервер расположен на машине с реальным адресом, и доступен из внешки. хочу сделать его доступным только в локалке.

пробую на роутере правила

ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1 ipfw add 09 deny udp from any to any dst-port 123 in via wan1

ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться с серверами в инете.

подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?


но теперь сама машина перестает синхронизироваться с серверами в инете.

Естественно.

подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?

Если используется не pool.ntp.org, то разрешить доступ от серверов. Если pool, то уже средствами самого ntp. Читать про restrict.

AS ★★★★★ ()
Ответ на: комментарий от maximt

сервер очень старый и версия ntpd тоже

А собрать новый, если систему целиком нельзя обновить ?

AS ★★★★★ ()
Ответ на: комментарий от maximt

наверное придется, хотелось сделать проще

Ну если проще, то надо не pool.ntp.org, а вполне конкретный список. Тогда, для него же, открыть дырки в файрволе. Есть такой вот:
http://vniiftri.ru/index.php/ru/services/22-ntp

AS ★★★★★ ()
Ответ на: комментарий от maximt

потому что ntpd использует один порт для src\dst ?

Да. Хотя, может, есть варианты, надо ключики посмотреть.

AS ★★★★★ ()

ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться с серверами в инете.

Ну он же не об бесконечное число внешних хостов синхронизируется, а об 2-3-5. Ну вот и разрешите обмен с этими хостами, а все остальное запретите.

anto215 ★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.