如果 ufw 上的传出和传入都被阻止,我是否需要打开任何端口才能使 NTP 同步工作?

如果 ufw 上的传出和传入都被阻止,我是否需要打开任何端口才能使 NTP 同步工作?

我的一台生产服务器,联邦水务局配置如下:

Status: active
Logging: on (low)
Default: deny (incoming), **deny (outgoing)**, disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere
22/tcp (v6)                ALLOW IN    Anywhere (uv6)
80/tcp                     ALLOW IN    Anywhere
80/tcp (v6)                ALLOW IN    Anywhere (v6)

我已通过安装 ntp 服务启用了 NTP 同步,并且它当前正在运行。运行时ntpq -p,我得到以下输出:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+209.114.111.1   132.163.4.103    2 u  52m 1024  374   44.591    3.390   0.983
+208.75.89.4     216.218.192.202  2 u  51m 1024  374   67.622    2.429   2.171
*204.9.54.119    .CDMA.           1 u  40m 1024  374   24.324    2.344   2.116
-72.14.183.239   200.98.196.212   2 u  41m 1024  374   41.822    4.611   2.649
-91.189.94.4     193.79.237.14    2 u  43m 1024  374   74.764   -0.407   3.417

从上面的输出来看,显然它看起来像NTTP 协议已经正常工作,无需打开任何额外的端口联邦快递-防火墙。这种理解正确吗?或者我需要打开任何端口才能使 NTP 同步工作吗?

谢谢

答案1

您的“何时”列告诉我 ntp 最后一次与这些服务器聊天最多是在 40 分钟前,但您的轮询间隔是 1024 秒(~17 分钟)。ntp 似乎运行不正常,考虑到您的防火墙配置,这是有道理的。

您需要为 UDP 123 设置出站和入站允许规则。由于 UDP 是无状态的,因此需要设置入站允许规则。这就像收到陌生人发来的邮件一样。

相关内容