¿Cómo configurar UFW para permitir que ntp funcione?

11

He habilitado UFW en uno de los servidores de producción con configuración: Predeterminado: denegar (entrante), denegar (saliente) . Para la sincronización NTP, he instalado ntpy actualmente se está ejecutando.

¿Alguien puede aconsejar qué regla se debe agregar a UFW para la sincronización NTP? He leído en algún lugar que udp port 123necesita estar abierto para ntp , pero cuando ejecuto ntpq -p, obtengo el siguiente resultado:

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
 propjet.latt.ne 187.253.153.32   2 u   4d 1024    0   81.243    9.054   0.000
 ec2-107-20-168- 130.207.244.240  2 u   4d 1024    0   86.669  -23.040   0.000
 utcnist2.colora .ACTS.           1 u   4d 1024    0  298.151   86.936   0.000

lo que indica que no necesito agregar ninguna regla ufw y ntp ya está funcionando?

usuario2436428
fuente
¿Por qué negar saliente?
AB
Solo por seguridad extra. En realidad, tengo otro servidor que estaba compuesto por algunos troyanos y lo controlamos al negar el saliente por el momento.
user2436428
2
Negar saliente no es seguridad adicional. Limpia tu sistema infectado. Eso es seguridad extra.
AB
¡Estaba hablando de dos servidores diferentes! La seguridad adicional estaba destinada a un servidor no comprometido.
user2436428

Respuestas:

14

Con un simple

sudo ufw allow ntp 

Puede usar todos los servicios enumerados en /etc/services

sudo ufw allow <service name>
AB
fuente
1
¡Gracias! Pero como mencioné en mi publicación sin permitir ntp , todavía recibo una respuesta adecuada de ntpq -p, ¿cuál podría ser la razón?
user2436428
Permitir ntp para el tráfico entrante no es suficiente en mi caso. Como mencioné en la pregunta, el tráfico saliente predeterminado está bloqueado, por lo que he permitido que UDP 123 para el tráfico entrante y saliente funcione ntp.
user2436428
Lea su propio comentario "y lo controlamos al negar saliente por el momento".
AB
Estaba hablando de dos servidores diferentes. Por favor, eche un vistazo a mi pregunta y comentarios nuevamente. Gracias
user2436428
1

Con el siguiente conjunto de reglas, la sincronización NTP funciona perfectamente para mí:

sudo ufw allow 123/udp
sudo ufw allow out 123/udp
sudo ufw allow out 53

He permitido el puerto UDP 123 para el tráfico entrante y saliente para el trabajo NTP. Además, también necesitaba abrir el puerto TCP 53 (DNS) para el tráfico saliente ya que /etc/ntp.confcontiene nombres de dominio de servidores NTP. .

usuario2436428
fuente