Зачем открывать 123/udp в обоих направлениях?

Question

Например, при синхронизации времени от NTP-клиента к NTP-серверу, мне кажется, что открытие только в исходящем направлении от NTP-клиента к NTP-серверу не является проблемой.

Для клиентов, как правило, выненеобходимо явно открывать все входящие порты — вы можете положиться на свой межсетевой экран с отслеживанием состояния, который запомнит используемые порты и автоматически примет входящие ответные пакеты.

Однако, выделатьнеобходимо убедиться, что ничто явно не блокирует входящие пакеты на порту 123 (что иногда случается, когда интернет-провайдеры пытаются смягчить DoS-атаки и/или не допустить случайного запуска клиентами открытых NTP-серверов).

В дополнение к "клиент/сервер" NTP также имеет "симметричный" (одноранговый) режим. Несколько необычно, что старые версии NTP используют номера портов для определения того, какой режим используется — клиенты, общающиеся с серверами, используют эфемерный исходный порт, но одноранговые узлы в симметричном режиме используют 123 в качестве исходного порта — поэтому входящие ответы также будут иметь 123 в качестве порта назначения.

В общем, базовые клиенты SNTP будут использовать режим «клиент/сервер», в то время как полные серверы будут использовать режим «симметричный активный». Однако, например, встроенный клиент Windows NTP (w32tm), похоже, всегда использует симметричный режим, даже если он просто выполняет простое обновление, вероятно, потому, что это все та же кодовая база, что и сервер NTP, работающий на контроллерах домена AD. (Аналогично, ПК, на которых запущен ntpd, могут быть настроены на использование симметричного режима.)

Это означает, что для большинства ПК с ОС Windows (а возможно, и для других клиентов NTP) входящие ответы от серверов NTP на ПК будут иметь 123как порт назначенияи могут быть случайно заблокированы списками контроля доступа без сохранения состояния, которые считают, что это на самом деле входящие запросы.

Answer 1

Например, при синхронизации времени от NTP-клиента к NTP-серверу, мне кажется, что открытие только в исходящем направлении от NTP-клиента к NTP-серверу не является проблемой.

Для клиентов, как правило, выненеобходимо явно открывать все входящие порты — вы можете положиться на свой межсетевой экран с отслеживанием состояния, который запомнит используемые порты и автоматически примет входящие ответные пакеты.

Однако, выделатьнеобходимо убедиться, что ничто явно не блокирует входящие пакеты на порту 123 (что иногда случается, когда интернет-провайдеры пытаются смягчить DoS-атаки и/или не допустить случайного запуска клиентами открытых NTP-серверов).

В дополнение к "клиент/сервер" NTP также имеет "симметричный" (одноранговый) режим. Несколько необычно, что старые версии NTP используют номера портов для определения того, какой режим используется — клиенты, общающиеся с серверами, используют эфемерный исходный порт, но одноранговые узлы в симметричном режиме используют 123 в качестве исходного порта — поэтому входящие ответы также будут иметь 123 в качестве порта назначения.

В общем, базовые клиенты SNTP будут использовать режим «клиент/сервер», в то время как полные серверы будут использовать режим «симметричный активный». Однако, например, встроенный клиент Windows NTP (w32tm), похоже, всегда использует симметричный режим, даже если он просто выполняет простое обновление, вероятно, потому, что это все та же кодовая база, что и сервер NTP, работающий на контроллерах домена AD. (Аналогично, ПК, на которых запущен ntpd, могут быть настроены на использование симметричного режима.)

Это означает, что для большинства ПК с ОС Windows (а возможно, и для других клиентов NTP) входящие ответы от серверов NTP на ПК будут иметь 123как порт назначенияи могут быть случайно заблокированы списками контроля доступа без сохранения состояния, которые считают, что это на самом деле входящие запросы.

Зачем открывать 123/udp в обоих направлениях?

решение1

Связанный контент