Você tem várias opções e depende de onde os firewalls são colocados e / ou com quais você prefere trabalhar. Idealmente, você teria um firewall que você pode controlar na sub-rede. Menos idealmente, você estará lidando apenas com um firewall em nível de host no servidor NTP. De qualquer forma, o conceito é o mesmo.
Para um firewall de sub-rede:
- Permitir a porta UDP 123 fora da sub-rede somente a partir de
A.B.C.10
- Negue a porta UDP 123 de todo o resto.
Para um firewall de host no servidor NTP:
- Permitir a porta UDP 123 de sua sub-rede (e do host local)
- Negar a porta UDP 123 de em qualquer outro lugar (negar todas as regras mais adiante na cadeia).
por exemplo. para permitir 10.0.0.0/8:
# allow 10.0.0.0/8
iptables -A INPUT -s 10.0.0.0/8 -p udp -m udp --dport 123 -j ACCEPT
# allow localhost
iptables -A INPUT -s 127.0.0.0/8 -p udp -m udp --dport 123 -j ACCEPT
# allow NTP packets _from_ your host to everyone else
iptables -A OUTPUT -p udp --sport 123 --dport 123 -m state --state NEW,ESTABLISHED -j ACCEPT
# allow replies from hosts you've sent NTP packets to
iptables -A INPUT -p udp --sport 123 --dport 123 -m state --state ESTABLISHED -j ACCEPT
# the following is only useful if you have a policy ACCEPT for INPUT
iptables -A INPUT -p udp -m udp --dport 123 -j DROP