NTP設定

http://www.asahi-net.or.jp/~aa4t-nngk/ntpd.htmlを参考に、のちほど再点検しよう。

システム構成

[外部NTPサーバ]　プロバイダ提供や一般のタイムサーバ
　　↓
　Internet
　　↓
[NTPサーバ1]　外部通信できるDNZ層のNTPサーバ、制御ファイル：ntp.conf#1
　　↓
　内部Network
　　↓
[NTPサーバ2]　内部のローカル環境のNTPサーバ、ntp.conf#2
　　↓
[クライアント]　外部にアクセスできないクライアント群

ntp.confの設定

http://www.obenri.com/_ntp_sshserver/ntpconf5.htmlを参考にしています。

• restrictは、NTPによる通信の拒否・許可を設定するもの
• デフォルトでは、以下のようになっている。基本的には、一旦全てのアクセスを拒否し、必要なアクセスのみ公開する。
  • restrict default kod nomodify notrap nopeer noquery　全ての通信を拒否
  • restrict 127.0.0.1 　ここでは、許可するアドレスのみを指定

• restrictのオプション
  • ignore 指定したサーバからの全てのNTPアクセスを無視
  • noquery 指定したサーバからの時刻問合せパケットを無視
  • nomodify 指定したサーバからの設定変更要求パケットを無視
  • notrap 指定したサーバに対して状態変更時にトラップをあげない
  • notrust 時刻の問合せに応答はするが、自身の時刻合わせには使用しない
  • nopper 指定したホストと相互に同期しない
  • kod(Kiss of death) 問合せ頻度が閾値を超えた場合、クライアントに対して中止を連絡
  • default 「この後に指定したものが、デフォルトのルールですよ」という意味、宣言
    　restrict default ignore で、デフォルトではNTP通信を全て無視する

• 「restrict default kod nomodify notrap nopeer noquery」と、「restrict default ignore」は
  　同じ？違う？よくわかってません・・

ntp.conf#1

ntp.confの設定内容

restrict default kod nomodify notrap nopeer noquery
#外部NTPサーバへの通信を許可
restrict xxx.xxx.xxx.xxx noquery nomodify notrap
restrict 127.0.0.1
#LAN内のホストからの問合せへの応答を許可
restrict 192.168.10.0 mask 255.255.255.0 noquery nomodify notrap
※ここでは、noqueryを指定する例もあるんだけど、よくわかってません・・
  ただ、noqueryをつけても、時刻問合せには影響しないようです。

Server xxx.xxx.xxx.xxx #プロバイダのタイムサーバのアドレス

fudge 192.168.1.2 stratum 10 #自分自身をNTPサーバとして公開する

driffile /var/lib/ntp/drift #デフォルト
keys /etc/ntp/keys #デフォルト

ntp.conf#2

ntp.confの設定内容

restrict default kod nomodify notrap nopeer noquery
restrict 127.0.0.1 #自身からのNTP通信を許可
restrict 192.168.2.0 mask 255.255.255.0 noquery nomodify nopeer notrap
#ローカルネットワークからのNTP通信を許可

Server 192.168.1.2 #NTPサーバー(ここでは[NTPサーバ1]のこと)のアドレス

fudge timeserv02 stratum 10 #自身をNTPサーバーとして公開する

driffile /var/lib/ntp/drift #デフォルト
keys /etc/ntp/keys #デフォルト