Назад | Перейти на главную страницу

Блокировка клиента ntp от прослушивания

Я пытался сборка и настройка клиентов и сервера ntp, и использовал эту строку в ntp.conf для клиентов:

restrict default ignore

Тем не менее, я вижу, что мой клиент прослушивает интерфейс локальной сети. Из системного журнала:

Listening on interface #0 wildcard, 0.0.0.0#123 Disabled
Listening on interface #1 wildcard, ::#123 Disabled
Listening on interface #2 vmnet8, fe80::250:56ff:fec0:8#123 Enabled
Listening on interface #3 lo, ::1#123 Enabled
Listening on interface #4 eth0, fe80::222:68ff:fe10:1529#123 Enabled
Listening on interface #5 vmnet1, fe80::250:56ff:fec0:1#123 Enabled
Listening on interface #6 lo, 127.0.0.1#123 Enabled
Listening on interface #7 eth0, 192.168.111.183#123 Enabled
Listening on interface #8 vmnet1, 172.16.139.1#123 Enabled

0-1 отключены, и это хорошо.

Список открытых портов, использующих nmap -sUS -O 127.0.0.1:

Starting Nmap 4.53 ( http://insecure.org ) at 2009-08-03 12:25 IDT
Interesting ports on localhost (127.0.0.1):
Not shown: 3195 closed ports
PORT     STATE         SERVICE
22/tcp   open          ssh
631/tcp  open          ipp
902/tcp  open          iss-realsecure-sensor
5432/tcp open          postgres
68/udp   open|filtered dhcpc
123/udp  open|filtered ntp
5353/udp open|filtered zeroconf
Device type: general purpose
Running: Linux 2.6.X

Как вы видете, ntp прослушивает порт 123. Зачем?

Любые идеи?

Уди

Ответ, по-видимому, заключается в типе используемого протокола: NTP использует протокол UDP, который не требует установления соединения, и поэтому ему нужен открытый порт для получения времени от сервера после запроса.

Думаю, мне просто нужно будет держать этот порт открытым, так как NTP имеет очень хорошую репутацию в области безопасности.

Но действительно ли он пытается синхронизироваться? Моя копия 'man ntp.conf' предполагает, что записи по умолчанию добавляются автоматически, чтобы предотвратить проблему самосинхронизации (я полагаю, это то, о чем вы беспокоитесь; если нет, вы можете уточнить, в чем заключается ваш вопрос):

Записи списка ограничений по умолчанию с флагами ignore, interface, ntpport для каждого из адресов интерфейса локального хоста вставляются в таблицу при запуске, чтобы предотвратить попытку сервера синхронизироваться со своим временем. Запись по умолчанию также всегда присутствует, хотя в противном случае она не настроена; с записью по умолчанию не связаны никакие флаги (т.е. все, кроме вашего собственного NTP-сервера, не ограничено).

(ntpd 4.2.4p7)

Насколько я помню, это серверная линия.

Прочтите Контроль доступа к вашему серверу раздел в эта статья FreeBSD

Если вы хотите запретить всем машинам доступ к вашему серверу NTP, добавьте [эту строку к серверу]


Возможно, вы захотите перепроверить с этими Базовая конфигурация NTP примечания на страницах TLDP-SAG.