Настроили сервер Linux (Debian 8.7) и задаетесь вопросом, как я запрещаю анонимным клиентам в Интернете использовать мой сервер для синхронизации времени?
Сервер имеет конфигурацию ntp по умолчанию - еще ничего не трогал.
Достаточно ли просто заблокировать порт 123 udp входящий в брандмауэр?
Вы можете просто перечислить хосты, которым разрешено использовать ваш ntp-сервер. Например, если вы хотите, чтобы все устройства из 192.168.0.0/24 сети, чтобы получить время с вашего сервера, добавьте следующую строку в свой основной ntp.conf cofnfiguration файл (/etc/ntp.conf):
restrict 192.168.0.0 mask 255.255.255.0 [other options like nomodify noquery kod limit]
Вы также можете установить ограничение с помощью iptables или использовать его для блокировки входящих подключений к этому порту - в зависимости от того, что вам нравится.
Вы должны настроить свои подсети в /etc/ntp.conf. По умолчанию
«обмениваться временем со всеми, но не разрешать настройку»
но вы можете настроить все, что вам нужно, в config для NTP.
Да, этого должно быть достаточно, чтобы заблокировать трафик NTP с помощью межсетевого экрана. NTP подобен любой другой сетевой службе и может быть заблокирован или разрешен брандмауэром. Вы можете просто заблокировать входящий UDP-порт 123. Используя iptables, вы можете:
iptables -A INPUT -p udp --dport 123 -s my_clients_subnet -j ACCEPT
iptables -A INPUT -p udp --dport 123 -j DROP
Во-первых, разрешите своим клиентам на основе IP / маски или, возможно, имени интерфейса. Затем вы можете запретить любой другой IP-адрес.