NTP 和 iptables 用于在数据中心位置内和跨数据中心位置进行时间同步

NTP 和 iptables 用于在数据中心位置内和跨数据中心位置进行时间同步

我在美国东海岸和西海岸的两个数据中心拥有多台 Linux(Debian)服务器。我从每个位置挑选一台服务器作为 NTP 服务器。NTP 服务器与 0-3.us.pool.ntp.org 服务器同步时间。到目前为止,这似乎运行良好。

客户端配置为使用 ntp1 和 ntp2。我在客户端上设置了防火墙规则 (UDP 123)。

我的问题是,我该如何配置服务器,以便客户端可以使用我的两个 NTP 服务器,并防止我的 NTP 服务器成为其他所有人的公共时间服务器?

我不确定如何配置服务器上的 /etc/ntp.conf 文件以仅限制我的服务器,因为将混合使用公共/私有 IP 寻址。

现在我已经restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap限制了每个 NTP 所在的本地子网。

答案1

本质上,您要执行上述操作:

restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap

对于您要提供服务的每个子网或 IP 地址,请为您的服务器(即,您从其获取时间的那些机器)授予较少的权限:

restrict 128.118.25.3 noquery nomodify notrap nopeer
restrict 130.88.202.49 noquery nomodify notrap nopeer
restrict 128.59.59.177 noquery nomodify notrap nopeer
restrict 2a01:8000:0:4::123:123 noquery nomodify notrap nopeer

然后明确否认其他所有人:

restrict default ignore

请注意,这与使用池服务器不兼容,因为每次 NTP 重新启动时,这些服务器都会发生变化。如果您想完全忽略世界其他地方,则需要安排使用特定的 NTP 服务器,以便列出它们的地址;ISP 通常会为此提供服务器。如果您必须使用池服务器,则不要为您的时间服务器设置特定的条目,而是将“世界其他地方”行更改为

restrict default noquery nomodify notrap nopeer

相关内容