web-dev-qa-db-ja.com

ufwで発信と着信の両方がブロックされている場合、NTP同期を機能させるためにポートを開く必要がありますか?

私の本番サーバーの1つ、[〜#〜] ufw [〜#〜]構成は次のとおりです。

Status: active
Logging: on (low)
Default: deny (incoming), **deny (outgoing)**, disabled (routed)
New profiles: skip

To                         Action      From
--                         ------      ----
22/tcp                     ALLOW IN    Anywhere
22/tcp (v6)                ALLOW IN    Anywhere (uv6)
80/tcp                     ALLOW IN    Anywhere
80/tcp (v6)                ALLOW IN    Anywhere (v6)

NtpサービスをインストールしてNTP同期を有効にしましたが、現在実行中です。ntpq -pを実行すると、次の出力が表示されます。

     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+209.114.111.1   132.163.4.103    2 u  52m 1024  374   44.591    3.390   0.983
+208.75.89.4     216.218.192.202  2 u  51m 1024  374   67.622    2.429   2.171
*204.9.54.119    .CDMA.           1 u  40m 1024  374   24.324    2.344   2.116
-72.14.183.239   200.98.196.212   2 u  41m 1024  374   41.822    4.611   2.649
-91.189.94.4     193.79.237.14    2 u  43m 1024  374   74.764   -0.407   3.417

上記の出力から、ntpは、fw-firewallで追加のポートを開かなくても、すでに正しく機能しているように見えます。この理解は正しいですか[〜#〜]または[〜#〜]NTP)のポートを開く必要がありますか=同期が機能しますか?

ありがとう

5
user2436428

'when'列は、ntpが最後にそれらのサーバーとチャットしたのはせいぜい40分前であると言っていますが、ポーリング間隔は1024秒(〜17分)です。 ntpが正しく実行されていないようです。これは、ファイアウォールの構成を考えると理にかなっています。

UDP 123には、アウトバウンドとインバウンドの許可ルールが必要です。UDPはステートレスであるため、インバウンドが必要です。知らない人からメールを受け取るようなものです。

6
Neil