我的任务是让 NTP 客户端在两台 Linux 机器和一台 OpenBSD 机器上运行。
机器排列如下:
NTPServer
/ \
/ \
L1 L2
\ /
\ /
OpenBSD
我被告知要配置 L1 和 L2,以便将数据包从 OpenBSD 路由到 NTPServer(即不设置新层)。OpenBSD 框无法看到 NTPServer(即网络配置禁止这样做 - 从 OpenBSD 框我甚至无法 ping NTPServer 的 IP 地址)。
现在的坏消息是:我是一名 J2EE 程序员:) 我不知道该如何继续。
我从哪里开始呢?我并不是在寻找一个完整的解决方案,因为显然人们不知道网络配置,只是想得到一些关于从哪里开始的提示。在与 J2EE 相关的东西方面,我对 Linux 非常了解(安装 Tomcat/JBoss、将它们设置为服务等),但网络路由对我来说真的很新,而且一直让我感到害怕(自从我不得不编写一些 Java 代码来检测 BGP 翻转以来)。
编辑
好的,感谢 Google,我取得了一些进展。以上所有内容都是错误的(除了我是一名 J2EE 程序员)...
通过使用ifconfig、、和一些内部routes show文档traceroute,我现在得到了以下图表:
NTP
10.21.3.169
| \______________
| \
10.21.3.160 (eth1) |
L1 |
10.0.0.67 (eth0) |
| |
| |
10.0.0.65 (pcn1) |
OpenBSD |
10.0.0.51 (pcn0) |
| |
| |
10.0.0.49 (eth1) 10.21.3.159 (eth0)
L2
我还检查了三台机器上的时间,Linux 的是正确的,而 OpenBSD 的则是错误的,所以我认为我只需要对路由进行排序,以便 OpenBSD 机箱可以通过任一 Linux 机箱从 NTP 获取时间。
因此,我认为我需要向 OpenBSD 框添加一条路由,告诉它要到达我们的 NTP 服务器,它需要通过 L1(它也可以通过 L2 但我看到的图表看起来不正确)。
答案1
你上面的评论很有道理。但如果是这样的话,那么我会非常强烈建议你的雇主重新考虑他或她对 Linux 机器上的 NTP 的立场。
我不认为将这些盒子作为正确绑定的 NTP 客户端比将它们作为正确绑定的路由器更不安全。我相当肯定,不正确绑定的 NTP 客户端比由不知道如何查找 IP 地址的人管理的路由器更安全:使用不正确绑定的 NTP 客户端,您可能会影响系统时钟;使用配置不当的路由器,您可能会攻击整个网络。
请不要把这当成是针对个人的。这并不是针对个人的:如果你的雇主让我这个网络和防火墙专家来编写他们的 J2EE 代码,他们面临的风险会更大。我会到处犯基本的编程错误,引入潜在的缓冲区溢出和 SQL 注入攻击句柄,并毁掉他们的生活。是因为我能力不足吗?本身? 不 - 这是因为我被告知在安全至关重要的环境中做一些我不知道如何做的事情。
教皇曾说过,
对于政府形式,让傻瓜们争论,
什么是最好的管理,什么是最好的
我认为这也适用于技术。如果你对网络不太熟悉,那么这可能不是从头开始学习的最佳场所(而且一个服务器故障答案不能代替 IP 方面的正规课程)。至少,如果你的雇主坚持让你用路由来解决这个问题,让他们签署一些保证你免受路由器配置错误造成的任何后果的协议;看看这是否能让他们把注意力集中在即将犯下的错误上。