Linux

在 2 個 Linux 機器和 1 個 OpenBSD 機器上設置 NTP

  • December 1, 2010

我的任務是讓 NTP 客戶端在兩台 Linux 機器和一台 OpenBSD 機器上工作。

機器排列如下:

   NTPServer
   /       \
  /         \
L1           L2
  \         /
   \       /
    OpenBSD

我被告知配置 L1 和 L2 以將數據包從 OpenBSD 路由到 NTPServer(即不設置新層)。OpenBSD 盒子看不到 NTPServer(即網路配置禁止這樣做 - 從 OpenBSD 盒子我什至無法 ping NTPServer 的 IP 地址)。

現在是壞消息:我是一名 J2EE 程序員 :) 我對如何進行沒有太多的想法。

我從哪裡開始?我不是在尋找一個完整的解決方案,因為顯然人們不知道網路配置,只是一些關於從哪裡開始的指示。我對與 J2EE 相關的東西(安裝 Tomcat/JBoss,將它們設置為服務等)非常了解 Linux,但網路路由對我來說真的很新,而且一直讓我害怕(自從我不得不編寫一些 Java 程式碼以來)檢測 BGP 翻轉)。

編輯

好的,感謝Google,我取得了一些進展。以上都是錯誤的(除了我是J2EE程序員)……

通過使用ifconfigroutes showtraceroute和一些內部文件,我現在得到了下圖:

   NTP
 10.21.3.169
   |     \______________
   |                    \
 10.21.3.160 (eth1)     |   
  L1                    |
 10.0.0.67 (eth0)       |
   |                    |
   |                    |
 10.0.0.65 (pcn1)       |
  OpenBSD               |
 10.0.0.51 (pcn0)       |
   |                    |
   |                    |
 10.0.0.49 (eth1) 10.21.3.159 (eth0)
                L2

我還檢查了三台機器上的時間,Linux 是正確的,而 OpenBSD 是錯誤的,所以我認為我只需要對路由進行排序,以便 OpenBSD 框可以通過其中任何一個從 NTP 獲取時間Linux 盒子。

所以,我想我需要添加一條到 OpenBSD 框的路由,告訴它要到達我們的 NTP 伺服器,它需要通過 L1(它也可以通過 L2,但我看到的圖表看起來不正確)。

你上面的評論很有道理。但如果是這樣,那麼我真的強烈建議您的雇主重新考慮他或她在 linux 機器上的 NTP 上的立場。

我不認為讓這些盒子成為正確綁定的 NTP 客戶端不如讓它們成為正確綁定的路由器安全。我相當確定與不知道如何查找 IP 地址的人管理的路由器相比,不正確綁定的 NTP 客戶端更安全:使用綁定不正確的 NTP 客戶端可能會影響系統時鐘;使用配置不當的路由器,您可以攻擊整個網路。

請不要把它當作個人。這不是針對個人的:如果你的雇主讓我這個網路和防火牆專家來編寫他們的 J2EE 程式碼,他們將面臨更大的風險。我會到處犯基本的編​​程錯誤,引入潛在的緩衝區溢出和 SQL 注入攻擊句柄,並且通常會毀掉他們的生活。是因為我本身無能嗎?不 - 這是因為有人告訴我在安全關鍵的環境中做一些我不知道該怎麼做的事情。

有一句古老的教皇語錄,

對於政府形式,讓傻瓜來競爭
Whate’er is best administrative, is best

我認為這也適用於技術。如果您對網路感到不自在,那麼這可能不是從頭開始學習的最佳場所(並且單個伺服器故障答案不能代替適當的 IP 課程)。至少,如果你的雇主堅持要你用路由解決這個問題,讓他們簽署一些東西,以補償你免受路由器配置錯誤的任何後果;看看這是否讓他們的注意力集中在他們將要犯的錯誤上。

引用自:https://serverfault.com/questions/207746