如何配置UFW以允许ntp工作?

11

我已在配置以下生产服务器之一上启用了UFW默认值:deny(传入),deny(传出)。对于NTP同步,我已经安装ntp并且当前正在运行。

有人可以建议应将哪些规则添加到UFW中以进行NTP同步吗?我读过某处udp port 123需要为ntp打开的地方,但是当我运行时ntpq -p,得到以下输出:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

这表明我不需要添加任何ufw规则并且ntp已经正常工作?

firewall  ufw  ntp 
用户名
source
为什么拒绝外向?
AB
只是为了增加安全性。实际上,我有一台包含某些木马的服务器,我们暂时拒绝了传出邮件,从而控制了它。
user2436428
2
拒绝传出没有额外的安全性。清理您的受感染系统。那是额外的安全性。
AB
我在谈论两个不同的服务器!额外的安全性是针对不受影响的服务器。
user2436428 2015年

Answers:

14

用简单

sudo ufw allow ntp 

您可以使用列出的所有服务 /etc/services

sudo ufw allow <service name>
AB
source
1
谢谢!但是正如我在帖子中提到的那样,在没有允许ntp的情况下,我仍然得到正确的响应ntpq -p,这可能是什么原因?
user2436428 2015年
在我的情况下,仅允许ntp传入流量是不够的。正如我在问题中提到的那样,默认的传出流量被阻止,因此我允许UDP 123的ntp工作的传入和传出流量。
user2436428 2015年
阅读您自己的评论“我们暂时拒绝了传出,以此来控制它。”
AB
我在谈论两个不同的服务器。请再次查看我的问题和评论。谢谢
user2436428 15/12/24
1

通过以下规则集,NTP同步对我来说是完美的工作方式:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

我已允许UDP端口123进行NTP工作的传入和传出流量。另外,由于包含NTP服务器的域名,我还需要打开TCP端口53(DNS)进行传出通信/etc/ntp.conf。。

用户名
source
By using our site, you acknowledge that you have read and understand our Cookie Policy and Privacy Policy.
Licensed under cc by-sa 3.0 with attribution required.