Comment configurer UFW pour permettre à ntp de fonctionner?

11

J'ai activé UFW sur l'un des serveurs de production avec la configuration: Par défaut: refuser (entrant), refuser (sortant) . Pour la synchronisation NTP, j'ai installé ntpet il fonctionne actuellement.

Quelqu'un peut-il indiquer quelle règle doit être ajoutée à UFW pour la synchronisation NTP? J'ai lu quelque part qui udp port 123doit être ouvert pour ntp , mais quand je lance ntpq -p, j'obtiens la sortie suivante:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

ce qui indique que je n'ai pas besoin d'ajouter de règle ufw et que ntp fonctionne déjà?

firewall ufw ntp user2436428
la source
Pourquoi refuser de sortir?
AB
Juste pour plus de sécurité. En fait, j'ai un autre serveur qui était composé de chevaux de Troie et nous l'avons contrôlé en niant les sorties pour le moment.
user2436428
2
Refuser de sortir n'est pas une sécurité supplémentaire. Nettoyez votre système infecté. C'est une sécurité supplémentaire.
AB
Je parlais de deux serveurs différents! Une sécurité supplémentaire était destinée au serveur non compromis.
user2436428

Réponses:

14

Avec un simple

sudo ufw allow ntp 

Vous pouvez utiliser tous les services répertoriés dans /etc/services

sudo ufw allow <service name>
UN B
la source
1
Merci! Mais comme je l'ai mentionné dans mon article sans autoriser ntp , je reçois toujours une réponse appropriée de ntpq -p, quelle pourrait être la raison?
user2436428
Autoriser ntp pour le trafic entrant ne suffit pas dans mon cas. Comme je l'ai mentionné dans la question, le trafic sortant par défaut est bloqué, j'ai donc autorisé UDP 123 pour le trafic entrant et sortant à fonctionner en ntp.
user2436428
Lisez votre propre commentaire "et nous l'avons contrôlé en refusant de sortir pour le moment."
AB
Je parlais de deux serveurs différents. Veuillez revoir ma question et mes commentaires. Merci
user2436428
1

Avec les règles suivantes, la synchronisation NTP fonctionne parfaitement pour moi:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

J'ai autorisé le port UDP 123 pour le trafic entrant et sortant vers le travail NTP. De plus, j'avais également besoin d'ouvrir le port TCP 53 (DNS) pour le trafic sortant, car il /etc/ntp.confcontient les noms de domaine des serveurs NTP. .

user2436428
la source