Bagaimana cara mengkonfigurasi UFW agar ntp berfungsi?

11

Saya telah mengaktifkan UFW di salah satu server produksi dengan konfigurasi: Default: deny (incoming), deny (outgoing) . Untuk sinkronisasi NTP, saya telah menginstal ntpdan saat ini sedang berjalan.

Dapatkah seseorang menyarankan aturan apa yang harus ditambahkan ke UFW untuk sinkronisasi NTP? Saya telah membaca suatu tempat yang udp port 123perlu terbuka untuk ntp , tetapi ketika saya menjalankan ntpq -p, saya mendapatkan output sebagai berikut:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

yang menunjukkan bahwa saya tidak perlu menambahkan aturan ufw dan ntp sudah berfungsi?

firewall ufw ntp pengguna2436428
sumber
Mengapa menyangkal keluar?
AB
Hanya untuk keamanan ekstra. Sebenarnya saya memiliki server lain yang terdiri dari beberapa trojan (s) dan kami mengendalikannya dengan menolak keluar untuk sementara waktu.
user2436428
2
Menolak keluar bukan keamanan ekstra. Bersihkan sistem Anda yang terinfeksi. Itu keamanan ekstra.
AB
Saya berbicara tentang dua server yang berbeda! Keamanan ekstra dimaksudkan untuk server yang tidak dikompromikan.
user2436428

Jawaban:

14

Dengan sederhana

sudo ufw allow ntp 

Anda dapat menggunakan semua layanan yang terdaftar di /etc/services

sudo ufw allow <service name>
AB
sumber
1
Terima kasih! Tapi seperti yang saya sebutkan di posting saya tanpa mengizinkan ntp , saya masih mendapatkan respon yang tepat ntpq -p, apa alasannya?
user2436428
Mengizinkan ntp untuk lalu lintas masuk tidak cukup dalam kasus saya. Seperti yang saya sebutkan dalam pertanyaan, lalu lintas keluar default diblokir, jadi saya telah mengizinkan UDP 123 untuk lalu lintas masuk dan keluar untuk bekerja ntp.
user2436428
Baca komentar Anda sendiri "dan kami mengendalikannya dengan menyangkal keluar untuk sementara waktu."
AB
Saya berbicara tentang dua server yang berbeda. Silakan lihat kembali pertanyaan dan komentar saya. Terima kasih
user2436428
1

Dengan aturan-aturan berikut, sinkronisasi NTP berfungsi dengan baik untuk saya:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Saya telah mengizinkan port UDP 123 untuk lalu lintas masuk dan keluar untuk pekerjaan NTP. Selain itu saya juga perlu membuka port TCP 53 (DNS) untuk lalu lintas keluar karena /etc/ntp.confmengandung nama domain server NTP. .

pengguna2436428
sumber