为什么NTP要求对UDP端口123进行双向防火墙访问？

从什么是iptables规则来允许NTP？：

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

另外，从NTP网站：

... ntpd需要对特权UDP端口123的完全双向访问。

我的问题是，为什么？对于不熟悉NTP的人来说，这似乎是一个潜在的安全漏洞，尤其是当我要求我的客户端在其防火墙中打开该端口以便我的服务器保持时间同步时。有没有人可以给我的客户以充分的理由说服他们我需要防火墙中的此访问权限？感谢帮助！:)

如果您充当服务器，则仅需要允许传入流量NTP的端口，即可允许客户端同步到您。

否则，NTP状态的存在将自动确定传入的NTP数据包是被我们启动的现有防火墙状态阻止还是允许。

iptables -A输出-p udp --sport 123 --dport 123 -j ACCEPT

iptables -A输入-m状态-状态已建立，相关-j接受

请让我知道iptables规则是否正确。我没有使用iptables的经验。由于pfSense是一个有状态的防火墙，因此我的NTP客户端仅使用传出允许规则在pfSense路由器上保持同步。

NTP要求在端口123上进行双向访问，因为NTP RFC对客户端的源端口进行了以下指定：

在对称模式（1和2）下运行时，此字段必须包含IANA分配的NTP端口号PORT（123）。

由于客户端的源端口是123，因此当服务器将响应发送回时，它将把它发送到端口123。自然地，为了能够接收该响应，客户端必须允许端口123上的传入响应。通常，响应会返回在一些短暂的港口范围内。

正如本·库克（Ben Cook）上文所述，这仅在处理无状态防火墙时才需要，因为有状态防火墙将允许在没有明确规则的情况下返回响应。

我认为最好的解决方案是启用端口123的输入，仅用于期望给服务器提供ntp信号的IP地址。
在ntp配置文件/etc/ntp.conf中，您的服务器应指向多个ntp服务器的地址。您可以使用lookup命令为每个地址找到对应的IP。

host -t a 0.debian.pool.ntp.org

然后，您可以将规则添加到服务器防火墙：

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

...依此类推。
这样可以防止任何恶意人员损坏您的服务器。
我认为限制输出是没有用的。

ntp服务器到服务器的通信是源端口和目标端口123。最方便的做法是显式允许至少将其允许到运行ntp服务的主机。

您可能会考虑仅将外部主机暴露于Internet上以从外部来源获取时间。与此同步的内部ntp服务可能是所有设备的来源。如果这些主机专用于此目的，则可能的暴露受到限制：它们仅接受ntp流量，而不存储其他数据。

或者，根本不要使用外部IP网络。例如，使用GPS之类的无线电源作为时间。

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/TroubleshootingNTP