为什么配置了 ntp-service query acl xxx后NTP无法进行正常的时间同步,请大佬解答
如图
配置命令如下
Sever的配置
Client的配置
(0)
最佳答案
NTP:设置时间
system
clock timezone Beijing add 8:0:0
clock protocol ntp
ntp-service enable
ntp-service unicast-server 20.189.79.72
ntp-service unicast-server 203.107.6.88
quit
【规避方式】
(沿用之前的mode6/7漏洞解决方式)
a.
配置ntp-service synchronization acl xxx可以关闭掉mode6/7功能。
(只能在仅作为server的设备上使用,在NTP客户端使用会导致无法从外部同步时间)
b.
在目标设备上配置ntp-service peer acl xxx ,
将下游ntp client(从目标设备同步时间)和上游ntp server(向目标设备同时时间)的地址 加入ACL xxx的permit规则,其他ntp报文拒收。
————拦截非信任来源的报文
在设备上可以通过如下两种方式配规避:
1、配置ntp-service access { peer | query | server | synchronization } acl-number
举个例子, 服务器为A,客户端为B,C,D, 如果允许B,C,D都对服务器具有时间同步、控制查询权限,可以配置 ntp-service access peer acl 2000, acl 2000 permit B,C,D
需要将配置了从服务器A同步的所有合法客户端设备B,C,D,E,F…… 全部加入acl规并允许其对server进行访问,其他所有ip均无法进行操作
权限等级有4种,分别对应peer、server、synchronization、query。 按客户需要自己配置
2.通过外部防火墙直接过滤掉其他ip对设备的访问
(0)
大佬需要限制NTP漏洞MOD6的出现,所以我该怎么使用ACL来达到时间的正常同步
acl去掉,是可以的吗?
如果是,那就在在rule 0下面加一条允许本地IP网段到ntp的IP,放行,试试
(1)
是的ACL去掉是可以的,我试一试
是的ACL去掉是可以的,我试一试
您好,删除ACL试试
(1)
删除之后是可以正常同步的,但是现在需要规避NTP的MOD6漏洞,我用ACL需要怎么配置,请教大佬
删除之后是可以正常同步的,但是现在需要规避NTP的MOD6漏洞,我用ACL需要怎么配置,请教大佬
亲~登录后才可以操作哦!
确定你的邮箱还未认证,请认证邮箱或绑定手机后进行当前操作
举报
×
侵犯我的权益
×
侵犯了我企业的权益
×
抄袭了我的内容
×
原文链接或出处
诽谤我
×
对根叔社区有害的内容
×
不规范转载
×
举报说明
大佬需要限制NTP漏洞MOD6的出现,所以我该怎么使用ACL来达到时间的正常同步