已经设置了一个 Linux 服务器(Debian 8.7),想知道如何禁止互联网上的匿名客户端使用我的服务器进行时间同步?
服务器有默认的 ntp 配置-尚未触及任何东西。
123 udp仅在防火墙中阻止端口传入就足够了吗?
答案1
您可以只列出允许使用您的 ntp 服务器的主机。例如,如果您希望192.168.0.0/24网络中的所有设备都从您的服务器获取时间,请在主ntp.conf配置文件 ( /etc/ntp.conf) 中添加以下行:
restrict 192.168.0.0 mask 255.255.255.0 [other options like nomodify noquery kod limit]
您还可以使用 iptables 实施限制,或者使用它来阻止到该端口的传入连接 - 无论您喜欢哪种方式。
答案2
是的,使用防火墙阻止 NTP 流量就足够了。NTP 与任何其他网络服务一样,可以被防火墙阻止或允许。您可以只阻止传入的 UDP 端口 123。使用 iptables 您可以执行以下操作:
iptables -A INPUT -p udp --dport 123 -s my_clients_subnet -j ACCEPT
iptables -A INPUT -p udp --dport 123 -j DROP
首先,根据 IP/掩码或接口名称允许客户端。然后,您可以拒绝任何其他 IP。