在有防火牆的環境中使用 NTP 伺服器時,通常會雙向開啟 123/udp。所以我的問題是,為什麼需要雙向開啟?
例如,當從NTP客戶端同步時間到NTP伺服器時,在我看來,僅在從NTP客戶端到NTP伺服器的出站方向打開是沒有問題的。但很多網站都標明入站方向也應該開放。 NTP 伺服器之間以及 NTP 伺服器與 PC 等終端設備之間的通訊順序是否不同?老實說我很困惑。
此致。
答案1
例如,當從NTP客戶端同步時間到NTP伺服器時,在我看來,僅在從NTP客戶端到NTP伺服器的出站方向打開是沒有問題的。
對客戶來說,通常是你不需要明確開啟任何入站連接埠 - 您可以依靠狀態防火牆來記住所使用的連接埠並自動接受傳入的回覆封包。
然而,你做需要確保沒有任何東西明確阻止連接埠 123 上的入站資料包(當 ISP 嘗試減輕 DoS 攻擊和/或防止客戶意外運行開放的 NTP 伺服器時,有時會發生這種情況)。
除了「客戶端/伺服器」之外,NTP還有「對稱」(點對點)模式。有點不尋常的是,較舊的NTP 版本使用端口號來確定正在使用哪種模式- 與伺服器通信的客戶端使用臨時源端口,但對稱模式下的對等方使用123 作為源端口- 因此入站回復同樣將123 作為目標埠。
一般來說,基本 SNTP 用戶端將使用「客戶端/伺服器」模式,而完整伺服器將使用「對稱主動」模式。然而,例如內建的Windows NTP 用戶端(w32tm) 似乎總是使用對稱模式,即使它只是進行簡單的更新,可能是因為它仍然與在AD 網域控制器上運行的NTP 伺服器相同的程式碼庫。 (同樣,運行 ntpd 的 PC 可能配置為使用對稱模式。)
這意味著對於大多數 Windows PC(也可能還有其他 NTP 用戶端),從 NTP 伺服器到 PC 的入站回覆將有 123作為目的港並且可能會被無狀態 ACL 意外阻止,無狀態 ACL 認為這些實際上是入站查詢。