Topic: Questions sur ntpd

[Aneurysm]

Bonjour à tous

Toujours en quête de personnalisation de mon sme, je m'attaque au service ntp et je bloque un peu.

Tout d'abord, une question toute bête : est-ce bien le même deamon qui fait client ntp et serveur ntp ?

Ensuite, j'aurai en fait besoin d'effectuer les modifications suivantes (dans l'ordre) :

1/ changer le port du serveur : par exemple le mettre sur 8123 au lieu de 123 (ça n'a rien donné en faisant config setprop ntpd UDPPort 8123)
2/ permettre l'accés extérieur au serveur ntp
3/ limiter cet accés à une seule adresse IP connue

En complément de ma question 1 : est-il envisageable que le serveur écoute à la fois sur le port 123 et le port 8123 ?

Je me demandais aussi si quelqu'un aurait déjà essayé de mettre en place un serveur Time Protocol (TP, traditionellement port 37 UDP ou TCP). L'intérêt dans mon cas est d'utiliser TCP plutôt que UDP.

Je vous remercie d'avance de me faire profiter de vos connaissances.

a+

[mmccarn]

Mon SME obtient l'heure via ntp, et je peux obtenir l'heure sur windows en indiquant mon SME comme serveur NTP -- donc, il me semble que c'est et client et serveur.

1/ pour changer le port du serveur, c'est (j'espere) facile avec la redirection des ports (server-manager: securite: Renvoi de port)

2/ voyez numero 1 - si ca marche; voila!

3/ Vous pouvez (je crois) creer une service "phantome" pour exposer les ports renvoye a l'exterieur

Code: [Select]

config set phantome service UDPPort 99 status enabled access public AllowHosts a.b.c.d
signal-event remoteaccess-update
Qui veut dire la meme chose que:

Code: [Select]

config set phantome service
config setprop phantome AllowHosts a.b.c.d
config setprop phantome UDPPort 99
config setprop access public
config setprop phantome status enabled
signal-event remoteaccess-update
Apres, UDPPort est ouvert vers l'internet, mais seulement pour le host 'a.b.c.d'.  Examiner /etc/init.d/masq pour voir les details.  Le nom que vous choisissez pour le service ("phantome") n'est pas important - il faut seulement etre different que les noms des service qui viennent avec SME.

[Aneurysm]

Bonsoir et merci pour cette réponse

Il me semble avoir lu à plusieurs reprises que la redirection de ports n'était pas une solution optimale à ce type de problème, en terme de sécurité.
Est-ce fondé ? (je n'y connais vraiment pas grand chose sur la sécurité)
Avouez aussi que c'est moins "propre" que de simplement modifier le port d'écoute du service (mais cela est peut être impossible).

Enfin, votre solution m'amène à une autre question (qui complique le problème à mon avis) : comment faire pour changer le port d'écoute ntp, à la fois sur l'interface WAN et sur l'interface LAN ?

merci, a+

[mmccarn]

Je ne suis pas expert de NTP...

Je n'ai pas trouver aucun methode de changer le port d'ecoute de ntpd lui-meme.

A mon avis le probleme avec la redirection de ports est seulement que ca demande que vous vous souvenez les details des redirections jusq'a toujours.

comment faire pour changer le port d'écoute ntp, à la fois sur l'interface WAN et sur l'interface LAN

la, je n'en sais rien.

Est ce que vous avez vue que ntp peut etre configure avec 'authentication'?  Configure comme ca, les clients ont besoin d'une partie d'un cle public/privee pour acceder au service. http://www.gsp.com/cgi-bin/man.cgi?section=5&topic=ntp.conf#6  (Je n'ai pas trouver un site en francais...)