Bloqueando o cliente ntp de ouvir

3

Eu tenho tentado construir e configurar clientes e servidores ntp , e usado esta linha no ntp.conf para os clientes:

restrict default ignore

Ainda assim, vejo que meu cliente está escutando na interface de rede local. No log do sistema:

Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Listening on interface #1 wildcard, ::#123 Disabled
Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled
Listening on interface #3 lo, ::1#123 Enabled
Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled
Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled
Listening on interface #6 lo, 127.0.0.1#123 Enabled
Listening on interface #7 eth0, 192.168.111.183#123 Enabled
Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled

0-1 estão desativados, o que é bom.

Lista de portas abertas usando nmap -sUS -O 127.0.0.1 :

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT
Interesting ports on localhost (127.0.0.1):
Not shown: 3195 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
631/tcp  open          ipp
902/tcp  open          iss-realsecure-sensor
5432/tcp open          postgres
68/udp   open|filtered dhcpc
123/udp  open|filtered ntp
5353/udp open|filtered zeroconf
Device type: general purpose
Running: Linux 2.6.X

Como você pode ver, ntp está escutando na porta 123. Por quê?

Alguma idéia?

Udi

    
por Adam Matan 03.08.2009 / 11:01

3 respostas

7

A resposta parece ser o tipo de protocolo usado: o NTP usa o protocolo UDP, que é sem conexão e, portanto, precisa de uma porta aberta para receber o tempo do servidor após a solicitação.

Acho que terei que manter essa porta aberta, já que o NTP tem uma reputação de segurança muito boa.

    
por 03.08.2009 / 13:36
2

Na verdade, está tentando sincronizar? Minha cópia do 'man ntp.conf' sugere que as entradas padrão são adicionadas automaticamente para evitar o problema de auto-sincronização (que é o que eu suponho que você esteja preocupado; se não, você pode querer esclarecer qual é a sua pergunta): / p>

Default restriction list entries with the flags ignore, interface, ntpport, for each of the local host's interface addresses are inserted into the table at startup to prevent the server from attempting to synchronize to its own time. A default entry is also always present, though if it is otherwise unconfigured; no flags are associated with the default entry (i.e., every- thing besides your own NTP server is unrestricted).

(ntpd 4.2.4p7)

    
por 03.08.2009 / 11:19
1

Do que eu me lembro, isso é uma linha de servidor.

Leia a seção Controlando o acesso ao seu servidor em este Artigo do FreeBSD

If you want to deny all machines from accessing your NTP server, add [that line to the server]

Você pode querer verificar novamente com essas configuração básica do NTP anotações nas páginas do TLDP-SAG.

    
por 03.08.2009 / 11:19