https://opennet.ru/openforum/vsluhforumID10/5233.html есть сервер ntpd по которому синхронизируются машины из локалки.<br>сервер расположен на машине с реальным адресом, и доступен из внешки.<br><br>хочу сделать его доступным только в локалке.<br><br>пробую на роутере правила<br><br>ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1<br>ipfw add 09 deny udp from any to any dst-port 123 in via wan1<br><br>ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться с серверами в инете.<br><br>подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий?<br> https://opennet.ru/openforum/vsluhforumID10/5233.html#9 Sun, 02 Mar 2014 10:26:52 GMT &gt;&gt; вы думаете закрывшись файерволом вы можете прекратить udp флуд ??<br>&gt;&gt; в ваш канал до вашего сервера всё равно валиться трафик будет <br>&gt;&gt; это только вышестоящий провайдер может помочь <br>&gt; но прекратит генерироваться исходящий трафик (которого больше) и надеюсь пропадет интерес к моему серверу.<br><br>блин я не понимаю, так ваш же сервер этот udp трафик на 123 порту и генерирует, сверяя свои часики и обновляя время?!<br><br>ладно, хрен с ним..<br><br>&gt;&gt; ну так а в чём тогда дело?<br>&gt; просто заинтересовало как ipfw работает с днс именами. раз пример - вопрос закрыт.<br><br>да так же как и другие unix-like - резольвят и подставляют в правило ip-адрес вместо имени<br><br>&gt;&gt; а если ещё и в добавок к этому использовать настройки в ntp.conf, <br>&gt;&gt; которые вам советуют ниже, так и вообще всё будет в шоколаде, <br>&gt;&gt; не?<br>&gt; очень старая версия ntpd, похоже ignore имеет один приоритет с другими правилами (порядок добавления тоже не влияет) <br><br>да, не повезло, короче - забей.. ))<br> https://opennet.ru/openforum/vsluhforumID10/5233.html#8 Sun, 02 Mar 2014 07:51:56 GMT &gt; вы думаете закрывшись файерволом вы можете прекратить udp флуд ??<br>&gt; в ваш канал до вашего сервера всё равно валиться трафик будет <br>&gt; это только вышестоящий провайдер может помочь <br><br>но прекратит генерироваться исходящий трафик (которого больше) и надеюсь пропадет интерес к моему серверу. <br><br>&gt; ну так а в чём тогда дело?<br><br>просто заинтересовало как ipfw работает с днс именами. раз пример - вопрос закрыт.<br><br>&gt; а если ещё и в добавок к этому использовать настройки в ntp.conf, <br>&gt; которые вам советуют ниже, так и вообще всё будет в шоколаде, <br>&gt; не?<br><br>очень старая версия ntpd, похоже ignore имеет один приоритет с другими правилами (порядок добавления тоже не влияет)<br> <br><br> https://opennet.ru/openforum/vsluhforumID10/5233.html#7 Sun, 02 Mar 2014 06:39:07 GMT &gt;[оверквотинг удален]<br>&gt;&gt;&gt; сервер расположен на машине с реальным адресом, и доступен из внешки.<br>&gt;&gt;&gt; хочу сделать его доступным только в локалке.<br>&gt;&gt; Чем не устроил такой способ?<br>&gt;&gt; Если вы хотите разрешить синхронизировать свои часы с вашим сервером только машинам <br>&gt;&gt; в вашей сети, но запретить им настраивать сервер или быть равноправными <br>&gt;&gt; участниками синхронизации времени, то добавьте строчку <br>&gt;&gt; restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap <br>&gt;&gt; где 192.168.1.0 является адресом IP вашей сети, а 255.255.255.0 её сетевой маской.<br>&gt; не помогает. там должно быть правило по-умолчанию restrict default ignore но тогда <br>&gt; синхронизация перестает работать.<br><br>всё помогает, правильно вам советуют<br>вы же в ntp.conf вначале по дефолту устанавливаете самые жёсткие и строгие правила, а потом их переопределяете<br><br>например так (у меня работает)<br><br># Сервера для синхронизации<br># http://support.ntp.org/bin/view/Servers/WebHome<br><br># Дефолтные ограничения<br>restrict default ignore noquery notrust nomodify https://opennet.ru/openforum/vsluhforumID10/5233.html#6 Sun, 02 Mar 2014 06:37:29 GMT &gt;[оверквотинг удален]<br>&gt;&gt; (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8) <br>&gt; у меня одно адресное пространство с белыми адресами. "1.1.1.0/24" это пример.<br>&gt; роутер и сервер с ntp разные машины <br>&gt; на роутере два интерфейса - ван с насройками провайдера, и моя локалка <br>&gt; с реальными адресами.<br>&gt;&gt; сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?<br>&gt;&gt; хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну..<br>&gt; udp флуд - кому и зачем это нужно - я не знаю. <br>&gt; непрерывный поток в несколько мегабит на ntpd на который генерируется приличный поток <br>&gt; исходящего трафика...<br><br>вы думаете закрывшись файерволом вы можете прекратить udp флуд ??<br>в ваш канал до вашего сервера всё равно валиться трафик будет<br>это только вышестоящий провайдер может помочь<br><br>&gt;&gt; тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить <br>&gt;&gt; остальные, например, вот так в статических правилах <br>&gt;&gt; allow udp from m https://opennet.ru/openforum/vsluhforumID10/5233.html#5 Sun, 02 Mar 2014 04:26:47 GMT &gt;&gt; есть сервер ntpd по которому синхронизируются машины из локалки.<br>&gt;&gt; сервер расположен на машине с реальным адресом, и доступен из внешки.<br>&gt;&gt; хочу сделать его доступным только в локалке.<br>&gt; Чем не устроил такой способ?<br>&gt; Если вы хотите разрешить синхронизировать свои часы с вашим сервером только машинам <br>&gt; в вашей сети, но запретить им настраивать сервер или быть равноправными <br>&gt; участниками синхронизации времени, то добавьте строчку <br>&gt; restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap <br>&gt; где 192.168.1.0 является адресом IP вашей сети, а 255.255.255.0 её сетевой маской. <br><br>не помогает. там должно быть правило по-умолчанию restrict default ignore но тогда синхронизация перестает работать.<br><br><br> https://opennet.ru/openforum/vsluhforumID10/5233.html#4 Sun, 02 Mar 2014 04:24:11 GMT &gt; Если я правильно понял, то: <br>&gt; сервер ntpd находится на роутере с белым адресом <br>&gt; через этот роутер выходит локалка 1.1.1.0/24 <br>&gt; (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8) <br><br>у меня одно адресное пространство с белыми адресами. "1.1.1.0/24" это пример.<br>роутер и сервер с ntp разные машины<br>на роутере два интерфейса - ван с насройками провайдера, и моя локалка с реальными адресами.<br><br>&gt; сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?<br>&gt; хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну.. <br><br>udp флуд - кому и зачем это нужно - я не знаю. <br>непрерывный поток в несколько мегабит на ntpd на который генерируется приличный поток исходящего трафика... <br> <br>&gt; тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить <br>&gt; остальные, например, вот так в статических правилах <br>&gt; allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org <br>&gt; 123 v https://opennet.ru/openforum/vsluhforumID10/5233.html#3 Sat, 01 Mar 2014 18:02:54 GMT &gt; есть сервер ntpd по которому синхронизируются машины из локалки.<br>&gt; сервер расположен на машине с реальным адресом, и доступен из внешки.<br>&gt; хочу сделать его доступным только в локалке.<br><br>Чем не устроил такой способ?<br><br>Если вы хотите разрешить синхронизировать свои часы с вашим сервером только машинам в вашей сети, но запретить им настраивать сервер или быть равноправными участниками синхронизации времени, то добавьте строчку<br><br>restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap<br><br>где 192.168.1.0 является адресом IP вашей сети, а 255.255.255.0 её сетевой маской.<br> <br><br><br> https://opennet.ru/openforum/vsluhforumID10/5233.html#2 Sat, 01 Mar 2014 17:56:33 GMT &gt; есть сервер ntpd по которому синхронизируются машины из локалки.<br>&gt; сервер расположен на машине с реальным адресом, и доступен из внешки.<br>&gt; хочу сделать его доступным только в локалке.<br>&gt; пробую на роутере правила <br>&gt; ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1 <br>&gt; ipfw add 09 deny udp from any to any dst-port 123 in via wan1 <br>&gt; ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться <br>&gt; с серверами в инете.<br>&gt; подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий? <br><br>Если я правильно понял, то:<br>сервер ntpd находится на роутере с белым адресом<br>через этот роутер выходит локалка 1.1.1.0/24<br>(обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8)<br>вы хотите обеспечить доступ к ntpd только из локалки.<br><br>А что у вас написано?<br><br>08 разрешить протокол udp из сети с ip-адресами 1.1.1.0/24 к любым ip-адресам на порт назначения 123 исходящие через интерфейс wan1<br>09 запретить протокол udp от https://opennet.ru/openforum/vsluhforumID10/5233.html#1 Sat, 01 Mar 2014 14:53:03 GMT у меня сделано так<br><br>$ipfw add 209 deny all from not 192.168.0.0/16,10.0.0.0/8,$MY_AS to me dst-port 123<br>$ipfw add 209 deny all from not 192.168.0.0/16,10.0.0.0/8,$MY_AS to $MY_AS dst-port 123<br><br>где $MY_AS это моя белая /23 автономка.<br><br>и с интерфейсами я тут не заморачивался, ибо 25+ вланов, из них 4 "белые" от разных провов<br>