Вопросы Теги

NTP и iptables в течение времени, синхронизируя в и через местоположения ЦОД

У меня есть несколько Linux (Debian) серверы через два дата-центра, расположенные на восточном и западном побережье США. Я выбрал один сервер от каждого местоположения, чтобы быть сервером NTP. Сервер NTP синхронизирует время с серверами 0-3.us.pool.ntp.org. Это, кажется, работает хорошо до сих пор.

Клиенты настроены для использования ntp1 и ntp2. Я установил правила брандмауэра (UDP 123) на клиентах.

Мой вопрос, как я могу настроить серверы так, чтобы клиенты могли использовать оба из моих серверов NTP и препятствовать тому, чтобы мои серверы NTP были общедоступными серверами времени всем остальным?

Я не уверен, как настроить/etc/ntp.conf файл на серверах для ограничения только моих серверов, так как будет соединение общедоступной/частной IP-адресации.

Прямо сейчас я имею restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap который ограничит локальную подсеть, каждый NTP идет.

1
задан 11 September 2015 в 17:39
1 ответ

По существу, вы делаете то, что описано выше:

restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap

для каждой подсети или IP-адреса, которые вы хотите обслуживать, затем разрешаете вашим серверам (т.е. тем машинам, с которых вы получаете время) чуть меньше привилегий:

restrict 128.118.25.3 noquery nomodify notrap nopeer
restrict 130.88.202.49 noquery nomodify notrap nopeer
restrict 128.59.59.177 noquery nomodify notrap nopeer
restrict 2a01:8000:0:4::123:123 noquery nomodify notrap nopeer

и затем явно запрещаете всем остальным:

restrict default ignore

Обратите внимание, что это несовместимо с использованием серверов-пулов, так как они будут меняться каждый раз при перезапуске NTP. Если вы хотите полностью проигнорировать остальной мир, вам нужно будет сделать arragnements, чтобы использовать определенные серверы NTP, чтобы вы могли перечислить их адреса; провайдеры часто предоставляют серверы для этой цели. Если вы должны использовать серверы пула, то не используйте специфические записи для ваших серверов времени, и вместо этого измените строку "остальной мир" на 

restrict default noquery nomodify notrap nopeer
2
ответ дан 3 December 2019 в 20:48

Теги

Похожие вопросы