>[оверквотинг удален]
>> (обычно локалку обозначают серыми адресами 192.168.0.0.16, 172.16.0.0/12 или 10.0.0.0/8)
> у меня одно адресное пространство с белыми адресами. "1.1.1.0/24" это пример.
> роутер и сервер с ntp разные машины
> на роутере два интерфейса - ван с насройками провайдера, и моя локалка
> с реальными адресами.
>> сильно хочется запретить запросы к своему серверу-роутеру на 123 порт udp?
>> хм.. думаете ломанутся все синхронизацию "по вам" делать? такой точный сервер? ну-ну..
> udp флуд - кому и зачем это нужно - я не знаю.
> непрерывный поток в несколько мегабит на ntpd на который генерируется приличный поток
> исходящего трафика...вы думаете закрывшись файерволом вы можете прекратить udp флуд ??
в ваш канал до вашего сервера всё равно валиться трафик будет
это только вышестоящий провайдер может помочь
>> тогда нужно перечислить сервера по которым ваш сервер делает синхронизацию и запретить
>> остальные, например, вот так в статических правилах
>> allow udp from me 123 to 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org
>> 123 via rl0
>> allow udp from 0.freebsd.pool.ntp.org,1.freebsd.pool.ntp.org,2.freebsd.pool.ntp.org
>> 123 to me 123 via rl0
>> deny udp from any to me 123 via rl0
> как ipfw работает с днс именами? за этими именами тысячи серверов
> я уже выбрал несколько ипов сервером и добавил их в фаерволл
ну так а в чём тогда дело?
имена серверов приведены тоже как "пример"
я также указал конкретные ip-адреса, но только в ntp.conf
и вы что, всерьёз думаете, что за X.freebsd.pool.ntp.org скрываются "тысячи серверов" ???
в конце концов, можно и динамическое правило использовать, я его вам показал, приведу ещё раз
add allow udp from me to any 123 keep-state
ваш сервер будет "доступен" только в момент обновления
а если ещё и в добавок к этому использовать настройки в ntp.conf, которые вам советуют ниже, так и вообще всё будет в шоколаде, не?