Bei Verwendung eines NTP-Servers in einer Umgebung mit Firewall ist es üblich, 123/udp in beide Richtungen zu öffnen. Meine Frage ist also: Warum ist es notwendig, es in beide Richtungen zu öffnen?
Wenn ich beispielsweise die Zeit von einem NTP-Client zu einem NTP-Server synchronisiere, scheint es mir, dass das Öffnen nur in der ausgehenden Richtung vom NTP-Client zum NTP-Server kein Problem darstellt. Viele Websites geben jedoch an, dass auch die eingehende Richtung geöffnet werden sollte. Ist die Kommunikationssequenz zwischen NTP-Servern und zwischen NTP-Servern und Endgeräten wie PCs unterschiedlich? Ich bin ehrlich gesagt verwirrt.
Beste grüße.
Antwort1
Wenn ich beispielsweise die Zeit von einem NTP-Client mit einem NTP-Server synchronisiere, scheint mir das Öffnen nur in der ausgehenden Richtung vom NTP-Client zum NTP-Server kein Problem zu sein.
Für Kunden, in der RegelnichtSie müssen keine Ports für den eingehenden Datenverkehr explizit öffnen – Sie können sich darauf verlassen, dass Ihre Stateful Firewall sich die verwendeten Ports merkt und die eingehenden Antwortpakete automatisch akzeptiert.
Aber duTunSie müssen sicherstellen, dass eingehende Pakete auf Port 123 nicht explizit blockiert werden (was manchmal passiert, wenn ISPs versuchen, DoS-Angriffe abzuschwächen und/oder zu verhindern, dass Kunden versehentlich offene NTP-Server ausführen).
Neben „Client/Server“ verfügt NTP auch über einen „symmetrischen“ (Peer-to-Peer) Modus. Etwas ungewöhnlich ist, dass ältere NTP-Versionen Portnummern verwenden, um zu bestimmen, welcher Modus verwendet wird – Clients, die mit Servern kommunizieren, verwenden einen temporären Quellport, aber Peers im symmetrischen Modus verwenden 123 als Quellport – daher haben eingehende Antworten ebenfalls 123 als Zielport.
Im Allgemeinen verwenden einfache SNTP-Clients den „Client/Server“-Modus, während vollständige Server den „symmetrisch aktiven“ Modus verwenden. Der integrierte Windows NTP-Client (w32tm) scheint jedoch beispielsweise immer den symmetrischen Modus zu verwenden, selbst wenn er nur ein einfaches Update durchführt, wahrscheinlich, weil er immer noch dieselbe Codebasis hat wie der NTP-Server, der auf AD-Domänencontrollern ausgeführt wird. (In ähnlicher Weise können PCs, auf denen ntpd ausgeführt wird, für die Verwendung des symmetrischen Modus konfiguriert sein.)
Das bedeutet, dass bei den meisten Windows-PCs (und möglicherweise auch bei anderen NTP-Clients) die eingehenden Antworten von NTP-Servern an den PC 123als Zielportund können versehentlich durch zustandslose ACLs blockiert werden, die davon ausgehen, dass es sich tatsächlich um eingehende Abfragen handelt.