> есть сервер ntpd по которому синхронизируются машины из локалки.
> сервер расположен на машине с реальным адресом, и доступен из внешки.
> хочу сделать его доступным только в локалке.
> пробую на роутере правила
> ipfw add 08 allow udp from 1.1.1.0/24 to any dst-port 123 out via wan1
> ipfw add 09 deny udp from any to any dst-port 123 in via wan1
> ntpd больше не доступен с внешки, но теперь сама машина перестает синхронизироваться
> с серверами в инете.
> подскажите пожалуйста - как правильно заблокировать входящий udp не поломав исходящий? Если я правильно понял, то:
сервер ntpd находится на роутере с белым адресом
через этот роутер выходит локалка 1.1.1.0/24
(обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8)
вы хотите обеспечить доступ к ntpd только из локалки.
А что у вас написано?
08 разрешить протокол udp из сети с ip-адресами 1.1.1.0/24 к любым ip-адресам на порт назначения 123 исходящие через интерфейс wan1
09 запретить протокол udp от любых ip-адресов к любым ip-адресам на порт назначения 123 входящие через интерфейс wan1
Локалка имеет серые адреса?
У вас что, имеется не один wan (внешний) интерфейс?
А как сервер ntpd будет синхронизироваться?
Приводим к каноническому виду:
локальная сеть (интранет) - 192.168.0.0/16
внутренний интерфейс смотрящий в локальную сеть - rl1
внешний интерфейс смотрящий наружу в интернет - rl0
тогда правила примут вид
allow udp from 192.160.0.0/16 to me 123 via rl1 # не обязательно, если на rl1 и так всё разрешено
allow udp from me 123 to any 123 keep-state via rl0 # динамическое правило с учётом состояния
сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?
хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну..
тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить остальные, например, вот так в статических правилах
allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 via rl0
allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org 123 to me 123 via rl0
deny udp from any to me 123 via rl0