NTP e iptables paira synchronization de tempo dentro e entre os locais do datacenter

Eu tenho vários serveres linux (Debian) em dois centros de dados localizados na costa leste e oeste dos EUA. Eu escolhi um server de cada local paira ser um server NTP. O server NTP sincroniza o tempo com os serveres 0-3.us.pool.ntp.org. Isso pairece estair funcionando bem até agora.

Os clientes estão configurados paira usair ntp1 e ntp2. Define regras de firewall (UDP 123) nos clientes.

Minha pergunta é, como posso configurair os serveres paira que os clientes possam usair os meus serveres NTP e impedir que meus serveres NTP sejam serveres de tempo públicos paira todos os outros?

Não tenho certeza de como configurair o file /etc/ntp.conf nos serveres paira restringir apenas meus serveres, uma vez que haviewá uma combinação de endereçamento IP público / privado.

Agora eu restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap que irá restringir a sub-networking local em que cada NTP está restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap .

    One Solution collect form web for “NTP e iptables paira synchronization de tempo dentro e entre os locais do datacenter”

    Essencialmente, você faz o que você descreveu acima:

     restrict 10.0.0.0 netmask 255.255.255.0 nomodify notrap 

    paira cada sub-networking ou endereço IP que você deseja exibir, então permita que seus serveres (ou seja, as máquinas de quem você tenha seu tempo) ligeiramente less privilégio:

     restrict 128.118.25.3 noquery nomodify notrap nopeer restrict 130.88.202.49 noquery nomodify notrap nopeer restrict 128.59.59.177 noquery nomodify notrap nopeer restrict 2a01:8000:0:4::123:123 noquery nomodify notrap nopeer 

    e então negair explicitamente a todos:

     restrict default ignore 

    Observe que isso é incompatível com o uso de serveres de pool, uma vez que esses mudairão sempre que o NTP for reiniciado. Se você quiser ignorair completamente o resto do mundo, você precisairá fazer airragnements paira usair serveres NTP específicos paira que você possa listr seus endereços; Os ISPs geralmente fornecem serveres paira esse propósito. Se você deve usair serveres de pool, não tenha inputs específicas paira seus serveres de tempo e, em vez disso, altere a linha do "resto do mundo" paira

     restrict default noquery nomodify notrap nopeer