Wie konfiguriere ich UFW, damit ntp funktioniert?

9

Ich habe UFW auf einem der Produktionsserver mit der folgenden Konfiguration aktiviert : Standard: Verweigern (eingehend), Verweigern (ausgehend) . Für die NTP-Synchronisation habe ich installiert ntpund es läuft derzeit.

Kann jemand raten, welche Regel UFW für die NTP-Synchronisation hinzugefügt werden soll ? Ich habe irgendwo gelesen, dass udp port 123es für ntp geöffnet sein muss , aber wenn ich es ausführe ntpq -p, erhalte ich folgende Ausgabe:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

was bedeutet, dass ich keine ufw-regel hinzufügen muss und ntp bereits funktioniert?

user2436428
quelle
Warum ausgehende verweigern?
AB
Nur für zusätzliche Sicherheit. Eigentlich habe ich einen anderen Server, der aus einigen Trojanern bestand, und wir haben ihn kontrolliert, indem wir den Ausgang vorerst abgelehnt haben.
user2436428
2
Ausgehen verweigern ist keine zusätzliche Sicherheit. Reinigen Sie Ihr infiziertes System. Das ist zusätzliche Sicherheit.
AB
Ich habe über zwei verschiedene Server gesprochen! Zusätzliche Sicherheit war für nicht gefährdete Server gedacht.
user2436428

Antworten:

12

Mit einem einfachen

sudo ufw allow ntp 

Sie können alle unter aufgeführten Dienste nutzen /etc/services

sudo ufw allow <service name>
AB
quelle
1
Vielen Dank! Aber wie ich in meinem Beitrag erwähnt habe, ohne ntp zuzulassen, bekomme ich immer noch die richtige Antwort darauf ntpq -p, was könnte der Grund sein?
user2436428
Unter Berücksichtigung ntp für eingehenden Datenverkehr ist in meinem Fall nicht genug. Wie in der Frage erwähnt, ist der standardmäßige ausgehende Datenverkehr blockiert, sodass UDP 123 sowohl für eingehenden als auch für ausgehenden Datenverkehr funktioniert.
user2436428
Lesen Sie Ihren eigenen Kommentar "und wir haben ihn kontrolliert, indem wir den Ausgang vorerst abgelehnt haben."
AB
Ich habe über zwei verschiedene Server gesprochen. Bitte schauen Sie sich meine Frage und Kommentare noch einmal an. Danke
user2436428
1

Mit dem folgenden Regelsatz funktioniert die NTP-Synchronisation perfekt für mich:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

Ich habe UDP- Port 123 sowohl für eingehenden als auch für ausgehenden Datenverkehr zur NTP-Arbeit zugelassen. Zusätzlich musste ich auch den TCP- Port 53 (DNS) für ausgehenden Datenverkehr öffnen, da er /etc/ntp.confDomänennamen von NTP-Servern enthält. .

user2436428
quelle