ufwで発信と着信の両方がブロックされている場合、NTP同期を機能させるためにポートを開く必要がありますか？

Question

私の本番サーバーの1つ、[〜＃〜] ufw [〜＃〜]構成は次のとおりです。

Status: active Logging: on (low) Default: deny (incoming), **deny (outgoing)**, disabled (routed) New profiles: skip To Action From -- ------ ---- 22/tcp ALLOW IN Anywhere 22/tcp (v6) ALLOW IN Anywhere (uv6) 80/tcp ALLOW IN Anywhere 80/tcp (v6) ALLOW IN Anywhere (v6)

NtpサービスをインストールしてNTP同期を有効にしましたが、現在実行中です。ntpq -pを実行すると、次の出力が表示されます。

 remote refid st t when poll reach delay offset jitter ============================================================================== +209.114.111.1 132.163.4.103 2 u 52m 1024 374 44.591 3.390 0.983 +208.75.89.4 216.218.192.202 2 u 51m 1024 374 67.622 2.429 2.171 *204.9.54.119 .CDMA. 1 u 40m 1024 374 24.324 2.344 2.116 -72.14.183.239 200.98.196.212 2 u 41m 1024 374 41.822 4.611 2.649 -91.189.94.4 193.79.237.14 2 u 43m 1024 374 74.764 -0.407 3.417

上記の出力から、ntpは、fw-firewallで追加のポートを開かなくても、すでに正しく機能しているように見えます。この理解は正しいですか[〜＃〜]または[〜＃〜]NTP）のポートを開く必要がありますか=同期が機能しますか？

ありがとう

Neil · Answer

'when'列は、ntpが最後にそれらのサーバーとチャットしたのはせいぜい40分前であると言っていますが、ポーリング間隔は1024秒（〜17分）です。 ntpが正しく実行されていないようです。これは、ファイアウォールの構成を考えると理にかなっています。

UDP 123には、アウトバウンドとインバウンドの許可ルールが必要です。UDPはステートレスであるため、インバウンドが必要です。知らない人からメールを受け取るようなものです。