Как заставить ntpd слушать только внутренний интерфейс?

[alex117]

Как настроить ntpd на прослушку только внутренней сети?
Сейчас вот так:

Код: Выделить всё

root     ntpd       924   3  dgram  -> /var/run/logpriv
root     ntpd       924   20 udp4   *:123                 *:*
root     ntpd       924   21 udp4   192.168.5.100:123    *:*
root     ntpd       924   22 udp4   127.0.0.1:123         *:*
root     ntpd       924   23 udp4   1.1.1.1:123      *:*

[Хостинг HostFood.ru]

Тарифы на хостинг в России, от 12 рублей: https://www.host-food.ru/tariffs/hosting/
Тарифы на виртуальные сервера (VPS/VDS/KVM) в РФ, от 189 руб.: https://www.host-food.ru/tariffs/virtualny-server-vps/
Выделенные сервера, Россия, Москва, от 2000 рублей (HP Proliant G5, Intel Xeon E5430 (2.66GHz, Quad-Core, 12Mb), 8Gb RAM, 2x300Gb SAS HDD, P400i, 512Mb, BBU):
https://www.host-food.ru/tariffs/vydelennyi-server-ds/
Недорогие домены в популярных зонах: https://www.host-food.ru/domains/

[Corvin74]

Походу никак. Можно закрыть снаружи фаером, и в конфиге прописать соответствующие restrict-ы
В хендбуке вполне подробно всё описано http://www.freebsd.org/doc/ru/books/han ... k-ntp.html

[alex117]

Печально (((
Конфиг так и настроен и на фаере закрыто, но хотелось бы побороть это.
Вроде на линуксах ntpd можно настроить на нужную карту.

[xM]

Remove all -I or --interface options from /etc/default/ntp and insert the following into your /etc/ntp.conf:

interface ignore wildcard
interface listen 127.0.0.1
# NOTE: if you want to update your time using remote machines,
# add at least one remote interface address:
#interface listen 2001:db8::1
#interface listen 192.0.2.1
An excerpt from the ntpd(1) manual page about the -i option:

This option also implies not opening other addresses, except wildcard and localhost. Please consider using the configuration file interface command, which is more versatile.

Тока, соответственно, -i надо искать в /etc/rc.d/ntpd

[xM]

Странно

Код: Выделить всё

root@beta:/home/xM # cat /etc/rc.d/ntpd | grep "\-i"
	rc_flags="-u ntpd:ntpd -i ${ntpd_chrootdir} $rc_flags"

при этом

Код: Выделить всё

root@beta:/home/xM # man ntpd | grep "\-i"
root@beta:/home/xM # 

[alex117]

там похоже не -i, а -I

Код: Выделить всё

 -I Str interface      Listen on interface

[xM]

там похоже не -i, а -I

Сижу - копаю.

[xM]

А это вот ничего?

Код: Выделить всё

root     ntpd       924   20 udp4   *:123                 *:*

[alex117]

да вижу и че-то теперь ntpd как то странно работает
вроде в процессах висит, а при
/etc/rc.d/ntpd restart пишет, что сервис не запущен

[xM]

да вижу и че-то теперь ntpd как то странно работает
вроде в процессах висит, а при
/etc/rc.d/ntpd restart пишет, что сервис не запущен

Я добился того же удивительного эффекта и думаю какбы его теперь покилять
Короче, видимо, прав был товарищ из п.2 - there is no way

[alex117]

да kill -TERM номер процесса ntp
и запускать заново, без опции в rc.conf

[xM]

Пишут что openntpd решает проблему вместо ntpd

[xM]

да kill -TERM номер процесса ntp
и запускать заново, без опции в rc.conf

Да понятно. Это я пошутил

[xM]

Короче поставил я этот openntpd

Код: Выделить всё

root@beta:/home/xM # cd /usr/ports/net/openntpd/
root@beta:/usr/ports/net/openntpd # make config
===> No options to configure
root@beta:/usr/ports/net/openntpd # make install clean
===>   openntpd-4.6_2,2 depends on file: /usr/local/sbin/pkg - found
=> openntpd-4.6.tgz doesn't seem to exist in /usr/ports/distfiles/.
=> Attempting to fetch http://anga.funkfeuer.at/ftp/pub/OpenBSD/OpenNTPD/openntpd-4.6.tgz
openntpd-4.6.tgz                              100% of   29 kB  254 kBps 00m00s
===> Fetching all distfiles required by openntpd-4.6_2,2 for building
===>  Extracting for openntpd-4.6_2,2
...

Конфиг (мой)

Код: Выделить всё

root@beta:/usr/ports/net/openntpd # cat /usr/local/etc/ntpd.conf | grep -v "#"
listen on	127.0.0.1
listen on	192.168.1.2
servers	ru.pool.ntp.org

И результат

Код: Выделить всё

root@beta:/usr/ports/net/openntpd # sockstat | grep ":123"
_ntp     ntpd       14936 4  udp4   192.168.1.2:44587     192.168.1.1:123
_ntp     ntpd       14936 6  udp4   127.0.0.1:123         *:*
_ntp     ntpd       14936 8  udp4   192.168.1.2:123       *:*

И не забываем

Код: Выделить всё

root@beta:/ # cat /etc/rc.conf  | grep ntpd
openntpd_enable="YES"

[alex117]

ну тогда будем ставить )

[xM]

Вылез минус - нет тулзы ntpctl для мониторинга этого хозяйства.
Тока через логи и опцию -v покамест.
Пишет в debug.log

[alex117]

че то какая то херня с этим openntp.
в логах нет синхронизации и это:

dispatch_imsg in main: pipe closed

[alex117]

Решение:

Код: Выделить всё

If the error dispatch_imsg in main: pipe closed is shown, and listen on * is in /etc/ntpd.conf, then change it to listen on 0.0.0.0.

пиздец, от чего ушли - к тому и пришли

[xM]

че то какая то херня с этим openntp.
в логах нет синхронизации и это:

dispatch_imsg in main: pipe closed

У меня с выше приведённым конфигами всё работало как часы. Сейчас окатился назад на ntpd.
Возможно, файерволл у вас рубит трафик.

[alex117]

а зачем назад?
он то на портах слушает, но при
ntpdate -q localhost
пишет, что стратум 16 и в логах не может соединиться ни с одим из ntp-серверов
в файере все также как и с ntpd

[alex117]

короче снес я нафиг все
пока не выпустят адекватную версию - обойдусь без ntp
теперь мне нифига не понятно, что в конфиге из http://www.lissyara.su/articles/freebsd ... _settings/ верно, а что нет и что надо добавить и как пропатчить ntpd

[xM]

короче снес я нафиг все

Странное что-то у вас происходит.
В принципе, беды с открытым *:123 я не вижу.
Доступ ограничить можно в конфиге.

[alex117]

короче снес я нафиг все

Странное что-то у вас происходит.
В принципе, беды с открытым *:123 я не вижу.
Доступ ограничить можно в конфиге.

Приведите свой конфиг, если не трудно

[xM]

Сервер в локалке 192.168.1.2 который синхронизируется по DC 192.168.1.1

Код: Выделить всё

root@beta:/ # grep -v '#' /etc/ntp.conf
restrict default kod nomodify notrap nopeer noquery
server alfa.blah.blah
restrict alfa.blah.blah
restrict localhost
driftfile /var/db/ntp.drift
logfile /var/log/ntp.log
root@beta:/ # sockstat -4 -p 123
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     ntpd       32829 20 udp4   *:123                 *:*
root     ntpd       32829 22 udp4   192.168.1.2:123       *:*
root     ntpd       32829 26 udp4   127.0.0.1:123         *:*
root@beta:/ # ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
*192.168.1.1     85.21.78.91      3 u  187  256  377   14.114   -8.588  12.055

Ноутбук на PCBSD

Код: Выделить всё

[xM@pcbsd-4618] ~% grep -v '#' /etc/ntp.conf
server 0.freebsd.pool.ntp.org iburst
server 1.freebsd.pool.ntp.org iburst
server 2.freebsd.pool.ntp.org iburst
restrict default kod nomodify notrap nopeer noquery
restrict -6 default kod nomodify notrap nopeer noquery
restrict 127.0.0.1
restrict -6 ::1
restrict 127.127.1.0
[xM@pcbsd-4618] ~% sockstat -46 -p 123
USER     COMMAND    PID   FD PROTO  LOCAL ADDRESS         FOREIGN ADDRESS      
root     ntpd       1881  20 udp4   *:123                 *:*
root     ntpd       1881  21 udp6   *:123                 *:*
root     ntpd       1881  22 udp6   ::1:123               *:*
root     ntpd       1881  23 udp6   fe80:3::1:123         *:*
root     ntpd       1881  24 udp4   127.0.0.1:123         *:*
root     ntpd       1881  25 udp6   fe80:5::21c:bfff:feb0:30eb:123 *:*
root     ntpd       1881  26 udp4   192.168.1.155:123     *:*
[xM@pcbsd-4618] ~% ntpq -p
     remote           refid      st t when poll reach   delay   offset  jitter
==============================================================================
+shurf.me        194.190.168.1    2 u  336 1024  377   44.400   14.600   0.388
+intek-m.tv      62.76.96.4       3 u  861 1024  377   23.510    2.778   0.470
*guard.qword.ru  194.190.168.1    2 u  870 1024  377   45.654   -5.472   0.249

[alex117]

спасибо