ipfw заблокировать внешние запросы на ntpd

0

1

есть сервер ntpd по которому синхронизируются машины из локалки. сервер расположен на машине с реальным адресом, и доступен из внешки. хочу сделать его доступным только в локалке.

пробую на роутере правила

ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1 ipfw add 09 deny udp from any to any dst-port 123 in via wan1

ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться с серверами в инете.

подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?

Ссылка

←	Замапить порт роутера на урл

Смена ip сайту

→

но теперь сама машина перестает синхронизироваться с серверами в инете.

Естественно.

подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?

Если используется не pool.ntp.org, то разрешить доступ от серверов. Если pool, то уже средствами самого ntp. Читать про restrict.

AS ★★★★★
(01.03.14 17:45:24 MSK)

Ответ на: комментарий от AS 01.03.14 17:45:24 MSK

сервер очень старый и версия ntpd тоже restrict default ignore не работает..

maximt
(01.03.14 17:52:23 MSK) автор топика

Ответ на: комментарий от maximt 01.03.14 17:52:23 MSK

сервер очень старый и версия ntpd тоже

А собрать новый, если систему целиком нельзя обновить ?

AS ★★★★★
(01.03.14 17:53:54 MSK)

Ответ на: комментарий от AS 01.03.14 17:53:54 MSK

наверное придется, хотелось сделать проще

maximt
(01.03.14 17:57:26 MSK) автор топика

Ответ на: комментарий от maximt 01.03.14 17:57:26 MSK

наверное придется, хотелось сделать проще

Ну если проще, то надо не pool.ntp.org, а вполне конкретный список. Тогда, для него же, открыть дырки в файрволе. Есть такой вот:
http://vniiftri.ru/index.php/ru/services/22-ntp

AS ★★★★★
(01.03.14 18:18:56 MSK)