Por que o NTP requer acesso de firewall bidirecional à porta UDP 123?

Navegue suas respostas
16

De Quais são as regras do iptables para permitir o ntp? : 

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

Além disso, de o site do NTP :

... ntpd requires full bidirectional access to the privileged UDP port 123. ...

Minha pergunta é: por quê? Para alguém que não está familiarizado com o NTP, isso parece uma possível falha de segurança, especialmente quando estou pedindo a um cliente meu que abra essa porta em seu firewall para que meus servidores possam manter seu tempo sincronizado. Alguém tem uma justificativa decente que eu possa dar ao meu cliente para convencê-los de que preciso desse acesso no firewall? Ajuda é apreciada! :)

    
por DuffJ 02.06.2014 / 11:32

3 respostas

9

Você só precisa permitir o tráfego de entrada de portas do NTP se estiver atuando como um servidor, permitindo que os clientes sincronizem com você.

Caso contrário, a existência de um estado NTP determinará automaticamente se o pacote NTP recebido é bloqueado ou permitido por um estado de firewall existente que iniciamos.

iptables -A SAÍDA -p udp --sport 123 --dport 123 -j ACCEPT

iptables -A INPUT -m state - state ESTABELECIDO, RELACIONADO -j ACCEPT

Por favor, deixe-me saber se as regras do iptables são adequadas. Eu não tenho experiência com o iptables. Meu cliente NTP permanece sincronizado em meu roteador pfSense com apenas uma regra de permissão de saída porque o pfSense é um firewall com monitoração de estado.

    
por 15.11.2015 / 15:51
0

Acho que a melhor solução é ativar a porta 123 para entrada, apenas para os endereços IP que devem dar ao seu servidor o sinal ntp.
Dentro do arquivo de configuração ntp, /etc/ntp.conf, existem os endereços de vários servidores ntp que seu servidor deve apontar. Você pode usar o comando lookup para encontrar o ip correspondente para cada endereço.

host -t a 0.debian.pool.ntp.org

Então você pode adicionar a regra ao firewall do servidor:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

... e assim por diante.
Isso pode impedir que qualquer pessoa mal-intencionada danifique seu servidor.
Eu acho que não adianta restringir a saída.

    
por 29.05.2017 / 15:24
-1

A comunicação do servidor ntp para o servidor é a porta de origem e de destino 123. É mais conveniente permitir explicitamente pelo menos os hosts nos quais você está executando um serviço ntp.

Você pode considerar apenas expor um host externo à Internet para obter tempo de fontes externas. Um serviço ntp interno, sincronizado com isso, pode ser a fonte de todos os dispositivos. Se esses hosts forem dedicados ao objetivo, a possível exposição será limitada: eles só aceitam tráfego ntp e não armazenam outros dados.

Como alternativa, não use nenhuma rede IP externa. Use uma fonte de rádio como GPS para o tempo, por exemplo.

link link

    
por 29.12.2014 / 07:19

Tags

Como “desfazer” o comando unzip? Desativar dicas de preenchimento automático no iTerm2