Как настроить UFW для работы ntp?

11

Я включил UFW на одном из производственных серверов с конфигурацией: По умолчанию: deny (входящий), deny (исходящий) . Для синхронизации NTP я установил, ntpи это в настоящее время работает.

Может кто-нибудь посоветовать, какое правило нужно добавить в UFW для синхронизации NTP? Я читал где-то, что udp port 123должно быть открыто для NTP , но когда я запускаю ntpq -p, я получаю следующий вывод:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

что означает, что мне не нужно добавлять какие-либо правила UFW и NTP уже работает?

firewall ufw ntp user2436428
источник
Зачем отрицать исходящих?
AB
Просто для дополнительной безопасности. На самом деле, у меня есть еще один сервер, состоящий из нескольких троянов, и мы контролировали его, на данный момент запретив исходящие.
user2436428 16.12.15
2
Отказаться от исходящих без дополнительной безопасности. Очистите вашу зараженную систему. Это дополнительная безопасность.
AB
Я говорил о двух разных серверах! Дополнительная безопасность была предназначена для некомпрометированного сервера.
user2436428 24.12.15

Ответы:

14

С простым

sudo ufw allow ntp 

Вы можете использовать все услуги, перечисленные в /etc/services

sudo ufw allow <service name>
AB
источник
1
Спасибо! Но, как я упоминал в своем посте, не разрешая ntp , я все еще получаю правильный ответ ntpq -p, в чем может быть причина?
user2436428 16.12.15
Разрешение ntp для входящего трафика недостаточно в моем случае. Как я уже упоминал в этом вопросе, исходящий трафик по умолчанию заблокирован, поэтому я разрешил UDP 123 для входящего и исходящего трафика для работы ntp.
user2436428 24.12.15
Прочитайте свой собственный комментарий "и мы контролировали его, отказавшись на время от исходящих сообщений".
AB
Я говорил о двух разных серверах. Пожалуйста, посмотрите на мой вопрос и комментарии снова. Спасибо
user2436428
1

При следующем наборе правил NTP-синхронизация отлично работает для меня:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Я разрешил UDP- порт 123 для входящего и исходящего трафика для работы NTP. Кроме того, мне также нужно было открыть TCP- порт 53 (DNS) для исходящего трафика, поскольку он /etc/ntp.confсодержит доменные имена NTP-серверов. ,

user2436428
источник