Configuration NTP

Bonjour,

J’ai un serveur avec une IP publique qui me sert de NTP pour mon réseau interne.
Je voudrais restreindre l’utilisation de mon NTP uniquement à mon réseau interne ou a quelque adresse IP externe…

Mon soucis est que cela ne fonctionne pas, mon réseau interne ne peux pas synchroniser :
ntpdate[24609]: no server suitable for synchronization found

En revanche si je désactive “restrict default ignore” cela fonctionne :079

Voici la configuration minimale que j’utilise :

Une idée ??
Merci !

peut être ces lignes de ntp.conf:

[quote]# Local users may interrogate the ntp server more closely.
restrict 127.0.0.1
restrict ::1

Clients from this (example!) subnet have unlimited access, but only if

cryptographically authenticated.

#restrict 192.168.123.0 mask 255.255.255.0 notrust

If you want to provide time to your local subnet, change the next line.

(Again, the address is an example only.)

#broadcast 192.168.123.255

If you want to listen to time broadcasts on your local subnet, de-comment the

next lines. Please do this only if you trust everybody on the network!

#disable auth
#broadcastclient
[/quote]

Tu veux dire que je dois activer le broadcast et enlever ma ligne restrict ?

restrict permet de limiter l’accès plein au serveur. Fais donc obligatoirement

restrict 127.0.0.1
restrict ::1

pour le reste laisse l’option broadcast comme elle est et regarde l’option interface du man ntp.conf, tu auras ton bonheur.

MAIS j’ai personnellement 3 serveurs NTP que j’ai intégré dans le pool ntp en dormant sur mes deux oreilles. Le pool ntp en France stagne depuis 2 ans voir régresse (que 209 serveurs actuellement, 222 il y a un an) et encore moins en IPV6. Le protocole ntp est sûr, le serveur ne prend rien comme ressource alors, laisse l’accès du serveur à l’extérieur et même intègre toi au pool, tu rendras service à tout le monde à peu de frais.

Je ne comprends pas… Comment faire pour autoriser l’accès a un réseau 172.16.1.X ou même 192.168.1.X ?

Ensuite je ne veux pas que le serveur en question soit utilisable par tous l’internet, uniquement les IP que je veux…

Pour le pool, pourquoi pas, je verrais sur une autre machine mais pas celle-ci.

Soit du iptables, soit cette option:

interface [listen | ignore | drop] [all | ipv4 | ipv6 | wildcard | name | address[/prefixlen]] This command controls which network addresses ntpd opens, and whether input is dropped without processing. The first parame- ter determines the action for addresses which match the second parameter. That parameter specifies a class of addresses, or a specific interface name, or an address. In the address case, prefixlen determines how many bits must match for this rule to apply. ignore prevents opening matching addresses, drop causes ntpd to open the address and drop all received packets without examination. Multiple interface commands can be used. The last rule which matches a particular address determines the action for it. interface commands are disabled if any -I, --interface, -L, or --novirtualips command-line options are used. If none of those options are used and no interface actions are specified in the configuration file, all available network addresses are opened. The nic command is an alias for interface. Ce seraitinterface listen 172.16.1.1 si 172.16.1.1 est l’IP de ton serveur sur ce réseau.
Tu peux aussi spécifier par -I sur quelle interface le démon écoute.

eth0 est connecté a internet
eth1 est connecté au réseau 172.16.1.X
eth1.192 est connecté au réseau 192.168.1.X

Si par exemple j’autorise -I eth1 ntp n’est pas capable de synchroniser puisqu’il n’écoute pas vers internet.

Contentes toi dans ce cas d’interdire le port 123 en entrée udp par iptables, c’est le plus simple.

ou lire ce post :

http://www.bortzmeyer.org/ntp-reflexion.html

La configuration du serveur ntp debian est correct par défaut je crois (ligne restrict -4 default kod notrap nomodify nopeer noquery restrict -6 default kod notrap nomodify nopeer noquery , je ne croispas avoir du modifier ces paramètres).

Edit: Je viens de voir que le billet de Stéphane Bortzmeyer date d’aujourd’hui. Le problème est paru sur les listes NTP du pool il y a quelques mois je crois bien, mais comme d’habitude sa synthèse est remarquable.