> Если я правильно понял, то:
> сервер ntpd находится на роутере с белым адресом
> через этот роутер выходит локалка 1.1.1.0/24
> (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8) у меня одно адресное пространство с белыми адресами. "1.1.1.0/24" это пример.
роутер и сервер с ntp разные машины
на роутере два интерфейса - ван с насройками провайдера, и моя локалка с реальными адресами.
> сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?
> хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну..
udp флуд - кому и зачем это нужно - я не знаю.
непрерывный поток в несколько мегабит на ntpd на который генерируется приличный поток исходящего трафика...
> тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить
> остальные, например, вот так в статических правилах
> allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org
> 123 via rl0
> allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org
> 123 to me 123 via rl0
> deny udp from any to me 123 via rl0
как ipfw работает с днс именами? за этими именами тысячи серверов
я уже выбрал несколько ипов сервером и добавил их в фаерволл