¿Por qué abrir 123/udp en ambas direcciones?

Por ejemplo, al sincronizar la hora de un cliente NTP a un servidor NTP, me parece que abrir solo en la dirección de salida desde el cliente NTP al servidor NTP no es un problema.

Para los clientes, normalmente ustednonecesita abrir explícitamente cualquier puerto entrante; puede confiar en que su firewall con estado recordará los puertos que se utilizaron y aceptará automáticamente los paquetes de respuesta entrantes.

Sin embargo, tuhacerDebe asegurarse de que nada bloquee explícitamente los paquetes entrantes en el puerto 123 (lo que a veces sucede cuando los ISP intentan mitigar los ataques DoS y/o evitar que los clientes ejecuten accidentalmente servidores NTP abiertos).

Además de "cliente/servidor", NTP también tiene un modo "simétrico" (peer-to-peer). De manera algo inusual, las versiones anteriores de NTP usan números de puerto para determinar qué modo se está usando: los clientes que hablan con los servidores usan un puerto de origen efímero, pero los pares en modo simétrico usan 123 como puerto de origen, por lo que las respuestas entrantes también tendrán 123 como puerto de destino. .

En general, los clientes SNTP básicos usarían el modo "cliente/servidor", mientras que los servidores completos usarían el modo "simétrico activo". Sin embargo, por ejemplo, el cliente NTP de Windows integrado (w32tm) parece usar siempre el modo simétrico aunque solo esté realizando una actualización simple, probablemente porque sigue siendo la misma base de código que el servidor NTP que se ejecuta en controladores de dominio AD. (De manera similar, las PC que ejecutan ntpd pueden configurarse para usar el modo simétrico).

Esto significa que con la mayoría de las PC con Windows (y posiblemente también con otros clientes NTP), las respuestas entrantes de los servidores NTP a la PC tendrán 123como puerto de destinoy puede ser bloqueado accidentalmente por ACL sin estado que piensan que en realidad son consultas entrantes.