UFW'yi ntp'nin çalışmasına izin verecek şekilde nasıl yapılandırırım?

11

Yapılandırma ile üretim sunucularından birinde UFW'yi etkinleştirdim : Varsayılan: deny (gelen), inkar (giden) . NTP senkronizasyonu için yükledim ntpve şu anda çalışıyor.

Birisi NTP senkronizasyonu için UFW'ye hangi kuralın eklenmesi gerektiğini önerebilir mi? NTPudp port 123 için açık olması gereken bir yerde okudum , ama çalıştırdığımda , aşağıdaki çıktıyı alıyorum:ntpq -p

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

hangi ufw kuralı eklemek gerekmez ve ntp zaten çalışıyor gösterir?

firewall  ufw  ntp 
user2436428
kaynak
Neden gidenleri reddetmek?
AB
Sadece ekstra güvenlik için. Aslında bazı trojan (lar) ile oluşan başka bir sunucu var ve biz şu anda giden reddederek kontrol etti.
user2436428
2
Gidenleri reddetmek ekstra bir güvenlik değildir. Virüs bulaşmış sisteminizi temizleyin. Bu ekstra güvenlik.
AB
İki farklı sunucudan bahsediyordum! Güvenliği ihlal edilmeyen sunucu için ek güvenlik sağlandı.
user2436428

Yanıtlar:

14

Basit bir

sudo ufw allow ntp 

Listelenen tüm hizmetleri kullanabilirsiniz /etc/services

sudo ufw allow <service name>
AB
kaynak
1
Teşekkürler! Ama yazımda ntp'ye izin vermeden belirttiğim gibi , hala doğru yanıt alıyorum ntpq -p, nedeni ne olabilir?
user2436428
Benim durumumda gelen trafiğe ntp izin vermek yeterli değil. Soruda da belirttiğim gibi, varsayılan giden trafik engellendi, bu nedenle hem gelen hem de giden trafiğin ntp çalışması için UDP 123'e izin verdim.
user2436428
Kendi yorumunuzu okuyun "ve şu an için gidenleri reddederek kontrol ettik."
AB
İki farklı sunucudan bahsediyordum. Lütfen soruma ve yorumlara tekrar bakın. Teşekkürler
user2436428
1

Aşağıdaki kural kümesiyle NTP senkronizasyonu benim için mükemmel bir şekilde çalışıyor:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

NTP çalışmasına gelen ve giden trafik için UDP bağlantı noktası 123'e izin verdim . Ayrıca NTP sunucularının etki alanı adlarını içerdiğinden , giden trafik için TCP bağlantı noktası 53'ü (DNS) açmam gerekiyordu /etc/ntp.conf. .

user2436428
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.