伊波ともうします。 以下の2つの理由から、基本的にpfまたはipfilterベースで ステートフル的なフィルタを書くほうがお勧めです。
(1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること -- 伊波 源太 / Genta IHA 2014年1月28日 11:03 Ryuji MATSUMOTO <[email protected]>: > 松元@どっかの大学です。 > > 補足ですが、 >> たけふ@大阪豊中です。 >> >> ipfw(4) でフィルターする解も有りますけど、 >> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。 > >>> restrict default ignore >>> restrict -6 default ignore > > この設定をする場合、 > >> 必要に合わせてアクセス許可を列挙しています。 >> >>> restrict 127.0.0.1 >>> restrict -6 ::1 > > restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ > うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした) > > なので、 > -- こう書いたら -- > server AA.BB.CC.DD > > restrict default ignore > restrict -6 default ignore > ------------------ > > -- ntp.confに以下の行が必要 -- > restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap > ---- > > 注意: restrictのオプションは例です。各自マニュアルでご確認の上、 > 取捨選択下さい。 > > -- > 松元隆二 > _______________________________________________ > [email protected] mailing list > https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp > To unsubscribe, send any mail to "[email protected]" _______________________________________________ [email protected] mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "[email protected]"
