Come configurare UFW per far funzionare ntp?

11

Ho abilitato UFW su uno dei server di produzione con configurazione: impostazione predefinita: nega (in entrata), nega (in uscita) . Per la sincronizzazione NTP, ho installato ntped è attualmente in esecuzione.

Qualcuno può consigliare quale regola deve essere aggiunta a UFW per la sincronizzazione NTP? Ho letto da qualche parte che udp port 123deve essere aperto per NTTP , ma quando corro ntpq -p, ottengo il seguente output:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

che indica che non ho bisogno di aggiungere alcuna regola ufw e ntp sta già funzionando?

firewall  ufw  ntp 
user2436428
fonte
Perché negare l'uscita?
AB
Solo per maggiore sicurezza. In realtà ho un altro server che era composto da alcuni trojan e lo abbiamo controllato negando in uscita per il momento.
user2436428
2
Negare in uscita non è una sicurezza aggiuntiva. Pulisci il tuo sistema infetto. Questa è una sicurezza in più.
AB
Stavo parlando di due server diversi! La sicurezza aggiuntiva era pensata per server non compromessi.
user2436428,

Risposte:

14

Con un semplice

sudo ufw allow ntp 

È possibile utilizzare tutti i servizi elencati in /etc/services

sudo ufw allow <service name>
AB
fonte
1
Grazie! Ma come ho detto nel mio post senza consentire ntp , sto ancora ricevendo una risposta adeguata ntpq -p, quale potrebbe essere la ragione?
user2436428
Consentire ntp per il traffico in entrata non è abbastanza nel mio caso. Come accennato nella domanda, il traffico in uscita predefinito è bloccato, quindi ho consentito a UDP 123 di funzionare sia il traffico in entrata che in uscita.
user2436428,
Leggi il tuo commento "e per il momento l'abbiamo controllato negando la possibilità di uscire".
AB
Stavo parlando di due server diversi. Dai un'occhiata alla mia domanda e commenti di nuovo. Grazie
user2436428,
1

Con il seguente set di regole, la sincronizzazione NTP funziona perfettamente per me:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Ho consentito la porta UDP 123 per il traffico in entrata e in uscita verso il lavoro NTP. Inoltre, dovevo anche aprire la porta TCP 53 (DNS) per il traffico in uscita poiché /etc/ntp.confcontiene nomi di dominio dei server NTP. .

user2436428
fonte
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.