19.4. Управление доступом

Проблема
Нужно проследить за тем, чтобы локальные клиенты выполняли функции только
клиентов, но не серверов ntp. Они должны пользоваться только услугами службы
времени и только от указанных серверов.
Решение
Включите правила управления доступом в /etc/ntp.conf или создайте пару пра вил iptables на брандмауэре клиента.
Чтобы использовать механизм управления доступом ntp, включите следующие
строки в /etc/ntp.conf:
# Политика доступа по умолчанию
# Запретить весь трафик ntp, который не был специально разрешен
restrict default ignore
restrict 192.168.1.101
# Локальный хост является доверенный
r e s t r i c t 127.0.0.0 mask 255.0.0.0
Не забудьте перезапустить ntpd после внесения изменений в ntp.conf.
Другой вариант — настройка правил брандмауэра iptables. Если на клиентском
компьютере работает iptables, добавьте следующие правила:
iptables -A INPUT -p udp --dport 123 -m state --state ESTABLISHED -j ACCEPT
iptables -A INPUT -p udp --dport 123 -j REJECT
Первое правило принимает все ответы на отправленные пакеты ntp, а второе
отклоняет все остальные пакеты. Таким образом, попытка подключения со сторо ны другого хоста будет заблокирована, а ответы на запросы клиента будут успеш но обработаны.
Комментарии
Некоторые из параметров конфигурации ntp.conf:
О peer [хост или IP] — указанный хост опрашивается в симметричном актив ном режиме, то есть хосты синхронизируются друг по другу. Параметр ни когда не используется для общедоступных серверов времени;
О server [хост или IP] — указанный сервер опрашивается в клиентском режиме
(синхронизация выполняется только на клиентском компьютере);
О restrict — определение ограничений для конкретных хостов с переопределе нием значений по умолчанию;
О ignore — игнорирование всех пакетов ntp;
О nomodify — запрет изменения конфигурации на стадии выполнения. Запро сы, возвращающие информацию, разрешены;
О пореег — запрет одноранговой синхронизации. Это означает, что син хронизация обеспечивается только серверами, указанными в директиве
server, а другие хосты не могут использовать этот компьютер как сервер
времени;
О notrap — запрет на перехват управляющих сообщений режима 6 (фактически
запрет remote logging);
О noquery — игнорирование всех информационных запросов NTP режимов 6
и 7.
Управление доступом используется, прежде всего, для того, чтобы клиенты не
брали на себя функции серверов, а также для поддержания порядка в сети.
См. также
Локальная документация (/usr/share/doc/htp-doc/html) или документация в Интер нете (http://www.ntp.org/documentation.htmL); домашняя страница проекта pool.ntp.org
(http://www.pool.ntp.org); веб-сайт ntp.org (http://www.ntp.org/); архивы группы
Usenet comp.protocols.time.ntp.