© 1995-2013 by The FreeBSD Project. All rights reserved.URL: http://lists.de.freebsd.org
Matthias Teege <matthias(at)mteege.de> wrote:
> ich möchte die Uhren auf einigen Routern und Paketfiltern gerne mit
> der Netzzeit abgleichen. Auf den Rechnern läuft praktisch kein
> Server und ich möchte kein Loch in ein Gateway schießen.
Ganz einfach: Du solltest den Paketfilter nicht öffnen,
wenn Du kein NTP durchlassen willst; dies betrifft Port
123 (UDP).
Wenn Du NTP-Anfragen nach außen machen willst, aber kein
Anfragen _von_ außen zulassen willst, ist das auch nicht
weiter schwer. Man muß nur dabei im Hinterkopf behalten,
daß NTP-Anfragen Port 123 als Ziel verwenden, und daß die
die Antworten von Port 123 als Source kommen.
> [...] Die Referenzuhr ist innerhalb des lokalen Netzes.
Dann ist's ja einfach: Port 123 nach außen komplett zu-
machen.
> Mich würde deshalb Eure Meinung zu diesem Thema interessieren. Wie
> hält man die Uhren im besten Fall synchron, ohne zusätzliche
> Angriffsfläche zu schaffen? Hat das Lauschen auf Broadcasts, unter
> Sicherheitsgesichtspunkten", einen Vorteil gegenüber dem "pollen"
> von einem Zeitserver?
Eher im Gegenteil. Das ist wie bei NIS, das man ja auch
besser auf den/die NIS-Server festnageln sollte, anstatt
sie per Broadcast nach einem Server suchen zu lassen.
Im einfachsten Fall sieht die /etc/ntp.conf der Clients so
aus:
server <DeinServer>
restrict <DeinServer> mask 255.255.255.255 nomodify
restrict default ignore
restrict 127.0.0.1
driftfile /var/db/ntp.drift
Und auf dem Server:
<Eintrag für Referenzuhr>
restrict <DeinNetz> mask <DeineMaske> nomodify noquery notrust
restrict 127.0.0.1
driftfile /var/db/ntp.drift
Gruß
Olli
-- Oliver Fromme, secnetix GmbH & Co KG, Oettingenstr. 2, 80538 München Any opinions expressed in this message may be personal to the author and may not necessarily reflect the opinions of secnetix in any way. "All that we see or seem is just a dream within a dream" (E. A. Poe) To Unsubscribe: send mail to majordomo(at)de.FreeBSD.org with "unsubscribe de-bsd-questions" in the body of the messageReceived on Sun 07 Apr 2002 - 20:02:30 CEST