Провайдер блокирует NTP

Поддержку провайдера спрашивать пробовал? Потребуй назад свой NTP.

У тебя же белый IP, да?

CVE-2013-5211

IP белый. Поддержка ответила «по соображениям безопасности, иди в оффис пиши заявление».

А я ещё кое-кому из знакомых ставил систему и указыал время и дату из сети брать. А теперь их, что тоже гнать с заявлением.

Я не пойму одного, в сети всякого много чего открыто очень опасного. А ntp в чём провинилось??

Ну отказ в обслуживании на серверах много чего может вызвать даже http.

А чем эта уязвимость так опасна клиентам, что они им всем возможность синхронизации времени отчекрыжили?

Клиентам она не опасна, опасна серверам, и почему закрыт порт для клиента - вопрос. :)

надеются, что не пойдешь писать, поленишься.

Зато мой провайдер блокирует 25 порт и вообще ничем не аргументирует. Всё жду, когда начнёт 80 порт блокировать.

блокирует 25 порт

Это древний обычай. Считается, что оберегает от спам-ботов.

Блокирует во входящем трафике.

Я лично не поленюсь, схожу и напишу. Мне гораздо более лень, лазить по сайтам искать и устанавливать на всех моих устройствах точное время.

Тем более вручную точно не поставишь :(

Локальный ntpd с впн наружу как вариант.

Это неправильный выход. Сегодня обрезали ntp завтра ftp mail потом придется вообще в инет через туннель ходить. Буду добиваться открытия нужного или уйду к другому и другим советовать буду.

Возможно ntp traffic amplification https://en.wikipedia.org/wiki/NTP_server_misuse_and_abuse

Я бы попробовал без понтов и угроз поговорить с сисадмином. Вполне возможно за пиво он сделает «прокол» на фаерволе для тебя.

придется вообще в инет через туннель ходить

Так ведь уже приходится, не? )

потом придется вообще в инет через туннель ходить.

Вот это как раз и есть правильный подход.

Насчет причин уже выше ответили.

Спроси у провайдера адрес его собственного NTP-сервера, им и пользуйся. А если не устраивает, вообще запили GPS/Глонасс.

CVE-2013-5211 - причина? Так ответили так-же что опасности для клиентов не представляет.

Собственного NTP-сервера у провайдера Оргтехсервис Майкоп нет! Почтового тоже нет, FTP нет. Есть только http и https.

Кто-нибудь объясните зачем мне на роутере-сервере и десктопах GPS/Глонасс?? Дом вроде переезжать не может?

Зато мой провайдер блокирует

Мой пров что-то блокирует если только нездоровая активность попрёт. А так считается, что клиент ССЗБ и проблемы индейцев шерифа не волнуют.

Кто-нибудь объясните зачем мне на роутере-сервере и десктопах GPS/Глонасс?? Дом вроде переезжать не может?

Для получения точного времени.

Ну хоть какой-то сервер у них есть? На нем же наверняка есть NTP. Попроси, пусть откроют.

причина?

труе_админ выше пишет: ntp traffic amplification. У меня в одной из точек тоже закрыт NTP по этой причине. Но провайдер дал мне свой NTP, вроде работает нормально.

Я повторюсь что у провайдера никаких своих сервисов, кроме веб нет. Торренты с ютубом траффик дают, за него и платим.

Ошибка сильно несвежая, я думаю сервера pool.ntp.ogr ru.pool.ntp.org ntp1.stratum2.ru и.т.п. давно её уже исправили. А доступа к ним нет.

О!!! Я обошел блокировку. ipv6 пров тоже не дает,на роутере стоит миредо доступ через него провайдер блокировать пока не научился, тьфу, тьфу, тьфу. Теперь надо думать как передать десктопам.

Кто-нибудь объясните зачем мне на роутере-сервере и десктопах GPS/Глонасс?

Данные протоколы подразумевают передачу спутниками временных меток со своих атомных часов. И любой GPS-приёмник выдаёт не только координаты, но и текущие дату и время по UTC. Причём дату и время он начнёт выдавать раньше, чем определит координаты (достаточно всего одного спутника) или если вообще их не определит (внутри бетонной коробки как правило координаты не определяются, а вот время - да).

Где-то слышал статью про чувака, который на микроконтроллере + GPS-модуле + радиомодуле сделал специальную станцию точного времени для своей квартиры. А остальное его железки (самодельные часы, например) принимали сигналы радиомодуля и уже по нему синхронизировали время.

Готов поспорить, что подавляющее большинство уязвимостей используют 80-ый порт, однако его никто не режет. Поменьше - всякие SSH и Telnet. И конечно же 25-ый порт для рассылки спама. Использовать NTP для атаки будут только какие-нибудь маргиналы, да и на подавляющем числе серверов эту уязвимость давно пофиксили. И да, NTP очень популярный протокол, потому что по дефолту включен в любом офтопике. А о полезности и так понятно.

Это я не знаю... как из-за уязвимости в движке Doom заблокировать 666-ой порт.

Используй freenet6 (работает за NAT), либо какого-нибудь тунельного брокера 6to4 (требуется белый IP). Miredo не совсем полноценен, он лишь даёт доступ к IPv6-сайтам. А брокеры дают статический IPv6 + целую подсеть /64, которую можно раздать на свою локалку.

Зато мой провайдер блокирует 25 порт

А зачем тебе 25-й порт?

На нём postfix висит и почту принимает.

Ты постфикс юзаешь как клиент? Окай, но по 25-му порту лезет куча малвари из завирусованых семерочек. Используй 465/587 порт.

Попроси провайдера предоставить тебе сервер времени.

Ггг, домашний компьютер.

Рткомм коммерсам в ДЦ зарезал udp/123 ;) Открывал после письма.

Как сервер. Никакой малвари из семёрочек пока не прилезло.

Ты не понял. У меня на NAT`е овер 600 машин, так вот малвари, спамящей на 25-й порт предостаточно, я гарантирую это. Собственно у меня тоже 25-й порт порезан, используется внутренняя корпоративная почта с веб-мордой (roundcube) и smtps для тандерберда, 25-й порт не нужен. Кому нужна сторонняя (своя) почта (мы не запрещаем) - юзайте веб-морду, хотя и тот же тандер отлично настраивается на сторонний smtps.

Рткомм коммерсам в ДЦ зарезал udp/123 ;) Открывал после письма.

Правильно они в воскресенье лежали, значит.

Это ты не понял. Я говорю о входящем траффике. На какой порт подключаются к твоей корпоративной почте другие почтовые сервера, чтобы переслать тебе письмо?

кто это у тебя на юзерпике?

так зарезано ТОЛЬКО на входящий на 25-й?

Яроштот, чье имя нельзя называть

Да. Спам-боты чувствуют себя прекрасно, а вот Postfix думает, что ему никто не пишет.

как у тебя дела вообще?)

твой жаббер не изменился?)

О как. Какие-то странные у вас там админы.

Я норм:-) жаббер.ру что в профиле живой)

в последнее время появилась какая-нибудь атака по ntp портам??

Не в последнее, но появилось. Гугли CVE NTP DDoS.

Сходил в офис, написал заявление.

Сегодня получил сообщение от техподдержки, что для меня порт открыт.

А другим клиентам если нужно - пусть сами разбираются.

у тебя провайдер истеричка, возможность проведения ДДОС атаки через НТП отключается в конфиге вот такой строчкой disable monitor

В этом мире чем далее, тем более все делается для «среднестатистического пользователя», а ты хочешь странного. ntp, 123-порт. «среднестатистические» и слов-то таких не слышали.

Не хочется такое ванговать, но вполне может статься, что лет через несколько под интернетом будут подразумеваться в основном только социальные сети, которые в себя интегрируют уже все что только можно, включая игровые сервера, интернет-торговлю и торговлю контентом (лицензионным конечно).

А хотеть посетить какие-то отдельные сайты, не интегрированные в соцсети, будет выглядеть чем-то странным, а желание напрямую коннектиться с кем-то по IP и вовсе подозрительным, обычному законопослушному юзеру это будет не нужно.