> есть сервер ntpd по которому синхронизируются машины из локалки.
> сервер расположен на машине с реальным адресом, и доступен из внешки.
> хочу сделать его доступным только в локалке.Чем не устроил такой способ?
Если вы хотите разрешить синхронизировать свои часы с вашим сервером только машинам в вашей сети, но запретить им настраивать сервер или быть равноправными участниками синхронизации времени, то добавьте строчку
restrict 192.168.1.0 mask 255.255.255.0 nomodify notrap
где 192.168.1.0 является адресом IP вашей сети, а 255.255.255.0 её сетевой маской.