NTP e iptables para sincronização de tempo dentro e entre locais de datacenter

Question

NTP e iptables para sincronização de tempo dentro e entre locais de datacenter

#1 resposta do (2 votos)

1

Eu tenho vários servidores Linux (Debian) em dois datacenters localizados na costa leste e oeste dos EUA. Eu escolhi um servidor de cada local para ser um servidor NTP. O servidor NTP sincroniza o tempo com os servidores 0-3.us.pool.ntp.org. Isso parece estar funcionando bem até agora.

Os clientes estão configurados para usar ntp1 e ntp2. Eu configurei as regras de firewall (UDP 123) nos clientes.

A minha pergunta é: como posso configurar os servidores para que os clientes possam usar ambos os meus servidores NTP e impedir que meus servidores NTP sejam servidores de horário públicos para todos os outros?

Não sei como configurar o arquivo /etc/ntp.conf nos servidores para restringir somente os meus servidores, pois haverá uma mistura de endereçamento IP público / privado.

Agora, tenho restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap , que restringe a sub-rede local em que cada NTP está ativo.

ntp iptables firewall synchronization

por unixyellow1 11.09.2015 / 16:39

1 resposta

Tags ntp iptables firewall synchronization

NGINX Se -e para try_files Como o fluxo de dados em uma senha muda com o Open Directory?

score 2 · Answer 1

Essencialmente, você faz o que você descreveu acima:

restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap

para cada sub-rede ou endereço IP que você deseja veicular, então permita que seus servidores (ou seja, as máquinas de quem você recebe seu tempo) tenham um privilégio um pouco menor:

restrict 128.118.25.3 noquery nomodify notrap nopeer
restrict 130.88.202.49 noquery nomodify notrap nopeer
restrict 128.59.59.177 noquery nomodify notrap nopeer
restrict 2a01:8000:0:4::123:123 noquery nomodify notrap nopeer

e depois negar explicitamente a todos os outros:

restrict default ignore

Observe que isso é incompatível com o uso de servidores do pool, já que eles serão alterados sempre que o NTP for reiniciado. Se você quer ignorar completamente o resto do mundo, você precisará fazer interrupções para usar servidores NTP específicos para poder listar seus endereços; ISPs geralmente fornecem servidores para essa finalidade. Se você precisar usar servidores de pool, não tenha entradas específicas para seus servidores de horário e, em vez disso, altere a linha "resto do mundo" para

restrict default noquery nomodify notrap nopeer