ইউডিপি পোর্ট 123 এ এনটিপি-র দ্বি-নির্দেশমূলক ফায়ারওয়াল অ্যাক্সেসের প্রয়োজন কেন?


17

থেকে iptables- র নিয়ম NTP অনুমতি কি কি? :

iptables -A INPUT -p udp --dport 123 -j ACCEPT
iptables -A OUTPUT -p udp --sport 123 -j ACCEPT

এছাড়াও, এনটিপি ওয়েবসাইট থেকে :

... এনটিপিডিকে সুবিধাপ্রাপ্ত ইউডিপি পোর্ট 123 এ সম্পূর্ণ দ্বি-নির্দেশিক অ্যাক্সেসের দরকার পড়ে ...

আমার প্রশ্ন, কেন? এনটিপির সাথে পরিচিত নয় এমন কারও কাছে এটি সম্ভাব্য সুরক্ষা গর্তের মতো বলে মনে হচ্ছে, বিশেষত যখন আমি আমার একজন ক্লায়েন্টকে তাদের ফায়ারওয়ালে সেই পোর্টটি খুলতে বলি যাতে আমার সার্ভারগুলি তাদের সময়কে সুসংগত করে রাখতে পারে। ফায়ারওয়ালে আমার এই অ্যাক্সেসের দরকার আছে তা বোঝাতে আমি কি আমার ক্লায়েন্টকে তাদের উপযুক্ত যুক্তি দিতে পারি? সাহায্য প্রশংসা করা হয়! :)


2
আপনি কি "সম্পর্কিত / প্রতিষ্ঠিত অনুমতি" সম্পর্কে অংশটি পড়েছেন? যদি এই বিধিটি উপস্থিত থাকে তবে ইউডিপি পোর্ট 123 এর জন্য কোনও সাধারণ ইনপুট নিয়মের প্রয়োজন নেই
ভিএমাই

1
এটি কি আসলেই কোনও সম্ভাব্য সুরক্ষা গর্ত? এই anoften পুনরাবৃত্তি বাক্য যে আমি অর্থহীন বলে মনে করি। 2014 এর সময়, বিশেষ সম্পত্তি সহ 1024 এরও কম বন্দরগুলিকে কমবেশি করার এবং স্পষ্টভাবে প্রয়োজনীয় নয় এমন সমস্ত ট্র্যাফিক ব্লক করার সময়। আপনি ইন্টারনেটে নির্দিষ্ট হোস্ট থেকে একটি মেশিনে একটি পোর্ট খুলছেন।
ডিএফসি

আমি একমত, এটি আসলে কোনও সম্ভাব্য সুরক্ষা গর্ত নয়, তবে আমি আর্থিক শিল্পে কাজ করি এবং লোকেরা "কিছু কিছু হয়ে যাওয়ার" ক্ষেত্রে ফায়ারওয়াল খোলার বিষয়ে সর্বদা নার্ভাস থাকে। এটি সর্বদা হাতের কাছে যথাযথ ন্যায়সঙ্গত হওয়া মূল্যবান, এছাড়াও আমি নিজের উত্তর সম্পর্কে কৌতূহল বোধ করি - কোনও টাইম সার্ভারে এনটিপিডি আসলে তার ক্লায়েন্টদের সাথে সময় আপডেটগুলি প্রেরণে বহির্গমন সংযোগগুলি করে না? এটি অদ্ভুত এবং বিশেষত স্কেলেবল নয় sounds
ডাফজে

কিছুদিন আগে আমি এটি গুগল করেছিলাম, এটি ইনকামিং সংযোগ তৈরি না করে পরিচালনা করতে পারে।
বারলপ

ব্যক্তি যে বলেন যে @VMai superuser.com/questions/141772/... কোন উদাহরণ দিয়েছেন, কিন্তু আমি মনে করি তিনি বিদায়ী সংযোগ, প্যাকেট তাদের মধ্যে আসছে সক্ষম করতে বোঝানো। এটি ধারণার চেয়ে পৃথক যে "এনটিপিডিকে সুবিধাপ্রাপ্ত ইউডিপি পোর্ট 123-তে সম্পূর্ণ দ্বি-নির্দেশমূলক অ্যাক্সেসের প্রয়োজন ... ..." যা আগত সংযোগ বলে মনে হচ্ছে। যদি তিনি সম্পর্কিত / প্রতিষ্ঠিত ব্যবহার করে ইনকামিং এবং আউটগোয়িংয়ের অনুমতি দিতে চান তবে তার জন্য 4 টি বিধি প্রয়োজন। আগত সংযোগগুলির জন্য 2, বহির্গামী সংযোগের জন্য 2।
বারলপ

উত্তর:


10

আপনার যদি কেবল সার্ভার হিসাবে অভিনয় করে ক্লায়েন্টদের আপনার সাথে সিঙ্ক করার অনুমতি দেয় তবে কেবলমাত্র আগত ট্র্যাফিক এনটিপির বন্দরগুলির অনুমতি দেওয়া দরকার।

অন্যথায়, একটি এনটিপি রাষ্ট্রের উপস্থিতি স্বয়ংক্রিয়ভাবে নির্ধারণ করবে যে আগত এনটিপি প্যাকেটটি কোনও বিদ্যমান ফায়ারওয়াল রাষ্ট্র দ্বারা শুরু করা হয়েছিল যা আমরা শুরু করেছিলাম তা দ্বারা অবরুদ্ধ বা অনুমোদিত allowed

iptables -A OUTPUT -p udp --sport 123 --dport 123 -j ACCEPT

iptables -A INPUT -m state - স্টেট ইস্টাব্লিশড, রিলেটেড -জ অ্যাকিসিপিটি

Iptables নিয়মগুলি যথাযথ কিনা তা দয়া করে আমাকে জানান। Iptables নিয়ে আমার কোনও অভিজ্ঞতা নেই। আমার এনটিপি ক্লায়েন্ট কেবলমাত্র একটি বহির্গামী অনুমতি নিয়মের সাথে আমার পিএফসেন্স রাউটারে সিঙ্ক্রোনাইজড রয়েছেন কারণ পিএফসেন্স একটি রাষ্ট্রীয় ফায়ারওয়াল।


1
এটা বোধগম্য বলে মনে হচ্ছে না! দুর্ভাগ্যক্রমে আমি আপনার উত্তরটির যথার্থতা নিশ্চিত করার মতো অবস্থানে নেই; তবে, আমি এটি গ্রহণ করব কারণ এটি যৌক্তিক বলে মনে হচ্ছে না। অনেক ধন্যবাদ!
ডাফজে

1

এনটিপিকে 123 বন্দরে দ্বি-দিকনির্দেশক অ্যাক্সেস প্রয়োজন কারণ এনটিপি আরএফসি ক্লায়েন্টের উত্স পোর্ট সম্পর্কে নিম্নলিখিতটি নির্দিষ্ট করে:

প্রতিসম মোডে (1 এবং 2) কাজ করার সময়, এই ক্ষেত্রটিতে অবশ্যই আইএনএ দ্বারা নির্ধারিত এনটিপি পোর্ট নম্বর পোর্ট (123) থাকতে হবে contain

যেহেতু ক্লায়েন্টের সোর্স পোর্টটি 123, সার্ভার যখন প্রতিক্রিয়াটি ফেরত পাঠিয়েছে তখন তা 123 পোর্টে প্রেরণ করবে ly স্বাভাবিকভাবেই, সেই প্রতিক্রিয়াটি পেতে সক্ষম হতে ক্লায়েন্টকে অবশ্যই 123 বন্দরে আগত প্রতিক্রিয়াগুলি মঞ্জুর করতে হবে Nor সাধারণত প্রতিক্রিয়াগুলি ফিরে আসত would কিছু সংক্ষিপ্ত বন্দর পরিসীমা উপর।

বেন কুক যেমন উপরে উল্লেখ করেছেন, কেবল তখনই রাষ্ট্রীয় ফায়ারওয়াল হিসাবে স্টেটহীন ফায়ারওয়ালের সাথে ডিল করার সময় এটির প্রয়োজন হয় যখন কোনও সুস্পষ্ট নিয়ম ছাড়াই প্রতিক্রিয়া ফিরে আসতে পারে।


0

আমি মনে করি যে সেরা সমাধানটি ইনপুটটির জন্য 123 পোর্ট সক্ষম করা হবে কেবলমাত্র আপনার সার্ভারকে এনটিপি সিগন্যাল দেবে বলে আশা করা আইপি ঠিকানার জন্য।
এনটিপি কনফিগারেশন ফাইলের মধ্যে, /etc/ntp.conf এর মধ্যে আপনার সার্ভারের উল্লেখ করা উচিত এমন বেশ কয়েকটি এনটিপি সার্ভারের ঠিকানা রয়েছে। প্রতিটি ঠিকানার জন্য সংশ্লিষ্ট আইপি খুঁজে পেতে আপনি লুকিং কমান্ডটি ব্যবহার করতে পারেন।

host -t a 0.debian.pool.ntp.org

তারপরে আপনি সার্ভার ফায়ারওয়ালে নিয়মটি যুক্ত করতে পারেন:

iptables -I INPUT -p udp -s 94.177.187.22 -j ACCEPT

... এবং আরও।
এটি আপনার সার্ভারের ক্ষতি করতে যে কোনও দূষিত ব্যক্তিকে আটকাতে পারে।
আমি মনে করি এটি আউটপুটকে সীমাবদ্ধ করে কোনও লাভ নয়।


-1

সার্ভারে যোগাযোগের জন্য এনটিপি সার্ভার হ'ল উত্স এবং গন্তব্য পোর্ট 123। আপনি যে এনটিপি পরিষেবা চালাচ্ছেন তাতে কমপক্ষে হোস্টগুলিকে স্পষ্টভাবে অনুমতি দেওয়া সর্বাধিক সুবিধাজনক।

বাইরের উত্স থেকে সময় পাওয়ার জন্য আপনি কেবলমাত্র একটি বাহ্যিক হোস্টকে ইন্টারনেটে প্রকাশের বিষয়টি বিবেচনা করতে পারেন। এর সাথে সিঙ্ক করা কোনও অভ্যন্তরীণ এনটিপি পরিষেবা সমস্ত ডিভাইসের উত্স হতে পারে। যদি এই হোস্টগুলি সম্ভাব্য এক্সপোজার সীমাবদ্ধ করার উদ্দেশ্যে উত্সর্গ করা হয় তবে তারা কেবল এনটিপি ট্র্যাফিক গ্রহণ করে এবং অন্যান্য ডেটা সংরক্ষণ করে না।

পর্যায়ক্রমে, কোনও বাহ্যিক আইপি নেটওয়ার্ক ব্যবহার করবেন না। সময়ের জন্য জিপিএসের মতো বেতার উত্স ব্যবহার করুন।

http://www.diablotin.com/librairie/networking/firewall/ch08_13.htm http://support.ntp.org/bin/view/Support/ সমস্যা সমাধানের এনটিপি


1
এই উত্তরের জন্য ধন্যবাদ, কিন্তু এটি প্রশ্নের উত্তর দেয় না। যদি আমি সিস্টেম প্রশাসক হয়ে থাকি এবং আমার ফায়ারওয়ালটি খুলতে চাই যাতে আমি অভ্যন্তরীণ এনটিপি পরিষেবা সেট করতে পারি? এনটিপি-র জন্য দ্বি-দিকনির্দেশক অ্যাক্সেস (যা দ্বি-দিকনির্দেশক অ্যাক্সেসের চেয়ে অনেক বেশি বিপজ্জনক) প্রয়োজন কেন এখনও কারও ধারণা নেই।
ডাফজে
আমাদের সাইট ব্যবহার করে, আপনি স্বীকার করেছেন যে আপনি আমাদের কুকি নীতি এবং গোপনীয়তা নীতিটি পড়েছেন এবং বুঝতে পেরেছেন ।
Licensed under cc by-sa 3.0 with attribution required.