Como configurar o UFW para permitir que o ntp funcione?

11

Eu habilitado UFW em um dos servidores de produção com a configuração: Padrão: negar (entrada), negar (saída) . Para sincronização NTP, eu instalei ntpe ele está em execução no momento.

Alguém pode aconselhar qual regra deve ser adicionada ao UFW para sincronização NTP? Eu li em algum lugar que udp port 123precisa ser aberto para o ntp , mas quando executo ntpq -p, recebo a seguinte saída:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

o que indica que não preciso adicionar nenhuma regra ufw e o ntp já está funcionando?

user2436428
fonte
Por que negar saída?
AB
Apenas para segurança extra. Na verdade, eu tenho outro servidor que era composto por alguns trojan (s) e nós o controlamos negando a saída por enquanto.
user2436428
2
Negar saída não é uma segurança extra. Limpe seu sistema infectado. Isso é segurança extra.
AB
Eu estava falando sobre dois servidores diferentes! Segurança extra foi criada para servidor não comprometido.
user2436428

Respostas:

14

Com um simples

sudo ufw allow ntp 

Você pode usar todos os serviços listados em /etc/services

sudo ufw allow <service name>
AB
fonte
11
Obrigado! Mas, como mencionei no meu post sem permitir o ntp , ainda estou obtendo uma resposta adequada de ntpq -pqual poderia ser o motivo?
user2436428
Permitir ntp para tráfego de entrada não é suficiente no meu caso. Como mencionei na pergunta, o tráfego de saída padrão está bloqueado, por isso permiti que o UDP 123 permitisse que o tráfego de entrada e de saída funcionasse com o NTP.
user2436428
Leia seu próprio comentário "e nós o controlamos negando a saída por enquanto".
AB
Eu estava falando sobre dois servidores diferentes. Por favor, dê uma olhada na minha pergunta e nos comentários novamente. Graças
user2436428
1

Com o seguinte conjunto de regras, a sincronização NTP está funcionando perfeitamente para mim:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Eu permiti a porta UDP 123 para tráfego de entrada e saída para o trabalho NTP. Além disso, eu também precisei abrir a porta TCP 53 (DNS) para tráfego de saída, pois /etc/ntp.confcontém nomes de domínio de servidores NTP. .

user2436428
fonte