あ、うっかりipfwと書くつもりがipfilterとか書いてしまいました^_^; すみません。
-- 伊波 源太 / Genta IHA 2014年1月28日 11:23 Genta IHA <[email protected]>: > 伊波ともうします。 > 以下の2つの理由から、基本的にpfまたはipfilterベースで > ステートフル的なフィルタを書くほうがお勧めです。 > > (1) リフレクション攻撃に用いられる可能性があるものはNTPだけではないこと > (2) ntp.confの設定だけでは、参照先のNTPサーバ自体をターゲットとした、リフレクション攻撃を防げない可能性があること > > -- > 伊波 源太 / Genta IHA > > 2014年1月28日 11:03 Ryuji MATSUMOTO <[email protected]>: >> 松元@どっかの大学です。 >> >> 補足ですが、 >>> たけふ@大阪豊中です。 >>> >>> ipfw(4) でフィルターする解も有りますけど、 >>> こちらでは、ntp.conf(5) にアクセス制限を設定する方法をとっています。 >> >>>> restrict default ignore >>>> restrict -6 default ignore >> >> この設定をする場合、 >> >>> 必要に合わせてアクセス許可を列挙しています。 >>> >>>> restrict 127.0.0.1 >>>> restrict -6 ::1 >> >> restrictに上流のNTPサーバを設定しわすれると、時計同期をしてくれないよ >> うです。(FreeBSDでは確認してませんが、CentOS6ではそうでした) >> >> なので、 >> -- こう書いたら -- >> server AA.BB.CC.DD >> >> restrict default ignore >> restrict -6 default ignore >> ------------------ >> >> -- ntp.confに以下の行が必要 -- >> restrict AA.BB.CC.DD kof nomodify nopeer noquery notrap >> ---- >> >> 注意: restrictのオプションは例です。各自マニュアルでご確認の上、 >> 取捨選択下さい。 >> >> -- >> 松元隆二 >> _______________________________________________ >> [email protected] mailing list >> https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp >> To unsubscribe, send any mail to "[email protected]" _______________________________________________ [email protected] mailing list https://lists.freebsd.org/mailman/listinfo/freebsd-users-jp To unsubscribe, send any mail to "[email protected]"
