방화벽이 있는 환경에서 NTP 서버를 사용하는 경우 양방향으로 123/udp를 여는 것이 일반적입니다. 그래서 내 질문은 왜 양방향으로 열어야 하는가입니다.
예를 들어 NTP 클라이언트에서 NTP 서버로 시간을 동기화할 때 NTP 클라이언트에서 NTP 서버로의 아웃바운드 방향으로만 여는 것은 문제가 되지 않는 것 같습니다. 그러나 많은 웹사이트에서는 인바운드 방향도 개방되어야 한다고 말합니다. NTP 서버 간, NTP 서버와 PC 등 최종 장치 간 통신 순서가 다른가요? 솔직히 혼란 스럽습니다.
친애하는.
답변1
예를 들어 NTP 클라이언트에서 NTP 서버로 시간을 동기화할 때 NTP 클라이언트에서 NTP 서버로의 아웃바운드 방향으로만 여는 것은 문제가 되지 않는 것 같습니다.
고객의 경우 일반적으로~하지 않다인바운드 포트를 명시적으로 열어야 합니다. 사용된 포트를 기억하고 들어오는 응답 패킷을 자동으로 수락하는 상태 저장 방화벽을 사용할 수 있습니다.
그러나 당신은하다포트 123에서 인바운드 패킷을 명시적으로 차단하는 것이 없는지 확인해야 합니다. 이는 ISP가 DoS 공격을 완화하거나 고객이 실수로 개방형 NTP 서버를 실행하는 것을 방지하려고 할 때 발생합니다.
"클라이언트/서버" 외에도 NTP에는 "대칭"(피어 투 피어) 모드도 있습니다. 다소 특이하게도 이전 NTP 버전은 포트 번호를 사용하여 사용 중인 모드를 결정합니다. 서버와 통신하는 클라이언트는 임시 소스 포트를 사용하지만 대칭 모드의 피어는 123을 소스 포트로 사용하므로 인바운드 응답도 대상 포트로 123을 갖습니다. .
일반적으로 기본 SNTP 클라이언트는 "클라이언트/서버" 모드를 사용하는 반면 전체 서버는 "대칭 활성" 모드를 사용합니다. 그러나 예를 들어 내장된 Windows NTP 클라이언트(w32tm)는 단순한 업데이트를 수행하는 경우에도 항상 대칭 모드를 사용하는 것으로 나타납니다. 이는 아마도 AD 도메인 컨트롤러에서 실행되는 NTP 서버와 여전히 동일한 코드베이스이기 때문일 것입니다. (마찬가지로 ntpd를 실행하는 PC는 대칭 모드를 사용하도록 구성될 수 있습니다.)
이는 대부분의 Windows PC(및 다른 NTP 클라이언트도 가능)에서 NTP 서버에서 PC로의 인바운드 응답이 123임을 의미합니다.목적지 항구로실제로 인바운드 쿼리라고 생각하는 상태 비저장 ACL에 의해 실수로 차단될 수 있습니다.