autenticação ntp - MD5 - freeBSD

O NTP afirma oferecer suporte à autenticação md5. Os documentos que encontrei não são suficientemente claros para o meu nível de vida. Como eu poderia usá-lo, com uma coleção de clientes freebsd e alguns servidores freebsd (obtendo seu tempo de servidores fora da minha rede)? Tudo está no ntp 4.2. * - 4.2.6p *, 4.2.7p * e 4.2.8. E como eu iria verificar se eles realmente estavam se autenticando uns aos outros? Existe alguma maneira de perguntar o que eles pensam que estão fazendo, ou eu precisarei fazer testes negativos (um cliente e / ou servidor com as chaves erradas)?

Um bom link RTFM seria suficiente; Estou me sentindo como um idiota perguntando, mas o ntp.org é melhor para explicar a teoria do que para a prática, e frequentemente parece estar descrevendo o ntp 3 ou mesmo antes. O que eu configurei mantém o tempo muito feliz - mas ainda mantinha o tempo com uma configuração do cliente quebrada que não dizia ao cliente onde encontrar o arquivo de chaves :-(

Na mesma linha, o que eu preciso bloquear, supondo que eu não queira que nenhum deles participe de ataques DDOS? (Suponha que, no momento, eu não esteja apenas confiando em um firewall - estou procurando uma resposta do tipo FAQ de "melhor prática".) E com o final 4.2.7 compilações ou 4.2.8, o que preciso desbloquear para obter um comportamento razoável. (Eu já descobri que "restringir máscara 127.0.0.1 255.255.255.255" não me deixa fazer muito de localhost. Parece que não tem nenhuma pergunta e talvez mais ligado por padrão.)