Auf Debian Jessie-Servern sehe ich, systemd-timesyncddass auf zufälligen UDP-Ports gelauscht wird. Das ist auf Debian Stretch-Hosts nicht der Fall. Mit zufällig meine ich, dass der Port, auf dem gelauscht wird, von Server zu Server unterschiedlich ist. Muss es auf einem UDP-Port lauschen, um richtig zu funktionieren? Ich möchte Ports blockieren, die nicht benötigt werden. Bedeutet das, dass ich alle UDP-Ports offen lassen muss?
Antwort1
Der systemd-timesyncd ist hauptsächlich ein NTP/SNTP-Client. Er sendet also ausgehende Anfragen und erhält Antworten. Wenn Sie einenzustandsbehaftetFirewall, dann müssten Sie ausgehenden UDP-Verkehr und ESTABLISHED/RELATED eingehenden Verkehr zulassen. Sie sollten eingehenden Verkehr zum Port, auf dem Timesyncd lauscht, nicht zulassen müssen.