已经build立了一个Linux服务器(Debian 8.7),并想知道如何禁止Internet上的匿名客户端使用我的服务器进行时间同步?
服务器有默认的ntpconfiguration – 尚未触及任何东西。
阻止端口123 udp进入防火墙就足够了吗?
你可以列出允许使用你的ntp服务器的主机。 例如,如果您希望192.168.0.0/24networking中的所有设备从您的服务器获取时间,请在主ntp.conf cofnfiguration文件( /etc/ntp.conf )中添加以下行:
restrict 192.168.0.0 mask 255.255.255.0 [other options like nomodify noquery kod limit]
你也可以用iptables来实现一个限制,或者用它来阻止到那个端口的连接 – 无论你喜欢什么。
是的,它应该足以阻止使用防火墙的NTPstream量。 NTP就像任何其他networking服务一样,可以被防火墙阻止或允许。 你可以阻止传入的UDP端口123.使用iptables你可以这样做:
iptables -A INPUT -p udp --dport 123 -s my_clients_subnet -j ACCEPT iptables -A INPUT -p udp --dport 123 -j DROP
首先,允许你的客户端基于IP /掩码或者接口名称。 那么,你可以否认任何其他IP。
您必须在/etc/ntp.conf设置您的子网。 默认是
“与大家交换时间,但不允许configuration”
但是你可以在NTP的configuration中调整你需要的任何东西。